Saatat huomata, että joidenkin artikkelien sisältö näkyy epäjohdonmukaisesti. Pahoittelemme sivuston päivityksestä aiheutuvaa vaivaa.
cross icon
Tässä artikkelissa
dropdown icon
Esipuhe
    Uudet ja muuttuneet tiedot
    dropdown icon
    Aloita hybridi-tietoturva
      Yleiskatsaus hybriditietojen tietoturvaan
        dropdown icon
        Turvallisuusalueen arkkitehtuuri
          Erillisalueet (ilman hybriditietoturvaa)
        Yhteistyö muiden organisaatioiden kanssa
          Hybriditietoturvan käyttöönottoa koskevat odotukset
            Korkean tason asennusprosessi
              dropdown icon
              Hybriditietoturvan käyttöönottomalli
                Hybriditietoturvan käyttöönottomalli
              Hybriditietoturvan kokeilutila
                dropdown icon
                Valmiustietokeskus katastrofista toipumista varten
                  Aseta varalla oleva datakeskus katastrofihyötyä varten
                Proxy-tuki
                dropdown icon
                Valmistele ympäristösi
                  dropdown icon
                  Hybriditietoturvaa koskevat vaatimukset
                    Cisco Webexin lisenssivaatimukset
                    Docker Desktop -vaatimukset
                    X.509-varmenteen vaatimukset
                    Virtuaalisen isännän vaatimukset
                    Tietokantapalvelimen vaatimukset
                    Ulkoiset liitäntävaatimukset
                    Välityspalvelimen vaatimukset
                  Täytä hybridi-tietoturvan edellytykset.
                  dropdown icon
                  Hybriditietoturvaklusterin perustaminen
                    Hybriditietoturvan käyttöönoton tehtävävirta
                      Lataa asennustiedostot
                        Luo konfigurointi-ISO HDS-isäntäkoneille.
                          Asenna HDS Host OVA
                            Hybriditietoturva VM:n määrittäminen
                              Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.
                                HDS-solmun määrittäminen välityspalvelimen integrointia varten
                                  Rekisteröi klusterin ensimmäinen solmu
                                    Luo ja rekisteröi lisää solmuja
                                    dropdown icon
                                    Suorita kokeilu ja siirry tuotantoon
                                      Kokeilusta tuotantoon tehtävänkulku
                                        Aktivoi Trial
                                          Testaa hybriditietoturvan käyttöönottoa
                                            Hybriditietojen tietoturvan tilan seuranta
                                              Lisää tai poista käyttäjiä kokeilusta
                                                Siirtyminen kokeilusta tuotantoon
                                                  Lopeta kokeilu siirtymättä tuotantoon
                                                  dropdown icon
                                                  Hallitse HDS-käyttöönottoa
                                                    Hallitse HDS:n käyttöönottoa
                                                      Aseta klusterin päivitysaikataulu
                                                        Solmun kokoonpanon muuttaminen
                                                          Sammuta estetty ulkoinen DNS-resoluutiotila
                                                            Poista solmu
                                                              Katastrofista palautuminen varalla olevan datakeskuksen avulla
                                                                (Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen
                                                                dropdown icon
                                                                Vianmääritys hybridi tietoturva
                                                                  Näytä hälytykset ja vianmääritys
                                                                    dropdown icon
                                                                    Hälytykset
                                                                      Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet
                                                                    Vianmääritys hybridi tietoturva
                                                                    dropdown icon
                                                                    Muut huomautukset
                                                                      Hybriditietoturvan tunnetut ongelmat
                                                                        Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
                                                                          HDS-solmujen ja pilvipalvelun välinen liikenne
                                                                            dropdown icon
                                                                            Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten
                                                                              Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta
                                                                          Tässä artikkelissa
                                                                          cross icon
                                                                          dropdown icon
                                                                          Esipuhe
                                                                            Uudet ja muuttuneet tiedot
                                                                            dropdown icon
                                                                            Aloita hybridi-tietoturva
                                                                              Yleiskatsaus hybriditietojen tietoturvaan
                                                                                dropdown icon
                                                                                Turvallisuusalueen arkkitehtuuri
                                                                                  Erillisalueet (ilman hybriditietoturvaa)
                                                                                Yhteistyö muiden organisaatioiden kanssa
                                                                                  Hybriditietoturvan käyttöönottoa koskevat odotukset
                                                                                    Korkean tason asennusprosessi
                                                                                      dropdown icon
                                                                                      Hybriditietoturvan käyttöönottomalli
                                                                                        Hybriditietoturvan käyttöönottomalli
                                                                                      Hybriditietoturvan kokeilutila
                                                                                        dropdown icon
                                                                                        Valmiustietokeskus katastrofista toipumista varten
                                                                                          Aseta varalla oleva datakeskus katastrofihyötyä varten
                                                                                        Proxy-tuki
                                                                                        dropdown icon
                                                                                        Valmistele ympäristösi
                                                                                          dropdown icon
                                                                                          Hybriditietoturvaa koskevat vaatimukset
                                                                                            Cisco Webexin lisenssivaatimukset
                                                                                            Docker Desktop -vaatimukset
                                                                                            X.509-varmenteen vaatimukset
                                                                                            Virtuaalisen isännän vaatimukset
                                                                                            Tietokantapalvelimen vaatimukset
                                                                                            Ulkoiset liitäntävaatimukset
                                                                                            Välityspalvelimen vaatimukset
                                                                                          Täytä hybridi-tietoturvan edellytykset.
                                                                                          dropdown icon
                                                                                          Hybriditietoturvaklusterin perustaminen
                                                                                            Hybriditietoturvan käyttöönoton tehtävävirta
                                                                                              Lataa asennustiedostot
                                                                                                Luo konfigurointi-ISO HDS-isäntäkoneille.
                                                                                                  Asenna HDS Host OVA
                                                                                                    Hybriditietoturva VM:n määrittäminen
                                                                                                      Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.
                                                                                                        HDS-solmun määrittäminen välityspalvelimen integrointia varten
                                                                                                          Rekisteröi klusterin ensimmäinen solmu
                                                                                                            Luo ja rekisteröi lisää solmuja
                                                                                                            dropdown icon
                                                                                                            Suorita kokeilu ja siirry tuotantoon
                                                                                                              Kokeilusta tuotantoon tehtävänkulku
                                                                                                                Aktivoi Trial
                                                                                                                  Testaa hybriditietoturvan käyttöönottoa
                                                                                                                    Hybriditietojen tietoturvan tilan seuranta
                                                                                                                      Lisää tai poista käyttäjiä kokeilusta
                                                                                                                        Siirtyminen kokeilusta tuotantoon
                                                                                                                          Lopeta kokeilu siirtymättä tuotantoon
                                                                                                                          dropdown icon
                                                                                                                          Hallitse HDS-käyttöönottoa
                                                                                                                            Hallitse HDS:n käyttöönottoa
                                                                                                                              Aseta klusterin päivitysaikataulu
                                                                                                                                Solmun kokoonpanon muuttaminen
                                                                                                                                  Sammuta estetty ulkoinen DNS-resoluutiotila
                                                                                                                                    Poista solmu
                                                                                                                                      Katastrofista palautuminen varalla olevan datakeskuksen avulla
                                                                                                                                        (Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen
                                                                                                                                        dropdown icon
                                                                                                                                        Vianmääritys hybridi tietoturva
                                                                                                                                          Näytä hälytykset ja vianmääritys
                                                                                                                                            dropdown icon
                                                                                                                                            Hälytykset
                                                                                                                                              Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet
                                                                                                                                            Vianmääritys hybridi tietoturva
                                                                                                                                            dropdown icon
                                                                                                                                            Muut huomautukset
                                                                                                                                              Hybriditietoturvan tunnetut ongelmat
                                                                                                                                                Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
                                                                                                                                                  HDS-solmujen ja pilvipalvelun välinen liikenne
                                                                                                                                                    dropdown icon
                                                                                                                                                    Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten
                                                                                                                                                      Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

                                                                                                                                                  Käyttöönotto-opas Webex Hybrid Data Security

                                                                                                                                                  list-menuTässä artikkelissa
                                                                                                                                                  list-menuOnko sinulla palautetta?
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uutta ja muuttunutta tietoa

                                                                                                                                                  Päiväys

                                                                                                                                                  Muutoksia tehty

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  07. elokuuta 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  06. joulukuuta 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  13. lokakuuta 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

                                                                                                                                                  30. huhtikuuta 2021

                                                                                                                                                  Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

                                                                                                                                                  24. helmikuuta 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

                                                                                                                                                  2. helmikuuta 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  11. tammikuuta 2021

                                                                                                                                                  Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  13. lokakuuta 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  8. lokakuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

                                                                                                                                                  14. elokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

                                                                                                                                                  16. kesäkuuta 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

                                                                                                                                                  4. kesäkuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

                                                                                                                                                  29. toukokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

                                                                                                                                                  5. toukokuuta 2020

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

                                                                                                                                                  21. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

                                                                                                                                                  1. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

                                                                                                                                                  20. helmikuuta 2020Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.
                                                                                                                                                  4. helmikuuta 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  16. joulukuuta 2019Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

                                                                                                                                                  8. marraskuuta 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat osiot vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

                                                                                                                                                  29. elokuuta 2019Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi.
                                                                                                                                                  20. elokuuta 2019

                                                                                                                                                  Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

                                                                                                                                                  13. kesäkuuta 2019Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  6. maaliskuuta 2019
                                                                                                                                                  28. helmikuuta 2019
                                                                                                                                                  • Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

                                                                                                                                                  26. helmikuuta 2019
                                                                                                                                                  • Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.

                                                                                                                                                  • Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

                                                                                                                                                  24. tammikuuta 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Server Always On (Always On Failover Clusters ja Always On Availability Groups) tukee JDBC-ajureita, joita käytetään Hybrid Data Securityssa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtoa PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  19. lokakuuta 2018

                                                                                                                                                  31. heinäkuuta 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  11. huhtikuuta 2018
                                                                                                                                                  22. helmikuuta 2018
                                                                                                                                                  15. helmikuuta 2018
                                                                                                                                                  • Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  18. tammikuuta 2018

                                                                                                                                                  2. marraskuuta 2017

                                                                                                                                                  • Selvennetty HdsTrialGroupin hakemistosynkronointi.

                                                                                                                                                  • Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

                                                                                                                                                  18. elokuuta 2017

                                                                                                                                                  Ensimmäinen julkaistu

                                                                                                                                                  Aloita hybriditietoturvan käyttö

                                                                                                                                                  Hybridin tietoturvan yleiskatsaus

                                                                                                                                                  Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

                                                                                                                                                  Erottelualueet (ilman hybriditietoturvaa)

                                                                                                                                                  Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.

                                                                                                                                                  Hybriditietoturvan käyttöönottoon liittyvät odotukset

                                                                                                                                                  Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

                                                                                                                                                  Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:

                                                                                                                                                  • Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.

                                                                                                                                                  • Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

                                                                                                                                                  • Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.

                                                                                                                                                  Standby Data Center katastrofipalautukseen

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasieto valmiustilaan

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

                                                                                                                                                  Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

                                                                                                                                                  Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Konfiguroinnin jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).

                                                                                                                                                  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvan vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Varmennevaatimukset

                                                                                                                                                  Varmenneketjun tulee täyttää seuraavat vaatimukset:

                                                                                                                                                  Pöytä 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle

                                                                                                                                                  Vaatimus

                                                                                                                                                  Yksityiskohdat

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi

                                                                                                                                                  • Ei ole jokerimerkkitodistus

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla.

                                                                                                                                                  Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.

                                                                                                                                                  Virtuaalipalvelimen vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ohjain 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.

                                                                                                                                                  • HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

                                                                                                                                                  Ulkoisen yhteyden vaatimukset

                                                                                                                                                  Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  pöytäkirja

                                                                                                                                                  Portti

                                                                                                                                                  Ohje sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asetustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yhteisen identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelinvaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP- tai HTTPS-protokollalla

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse HDS-asennuksellesi verkkotunnus (esim. hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välisertifikaatit. Varmenneketjun tulee täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (dbname) avainten tallennusta varten

                                                                                                                                                    • sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

                                                                                                                                                  5

                                                                                                                                                  Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat sisällön salaukseen ja salauksen purkamiseen käytetyt avaimet, toimivan käyttöönoton ylläpitämättä jättäminen johtaa PERUUTTAMATON tappio siitä sisällöstä.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja.

                                                                                                                                                  HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. The HdsTrialGroup objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeilun organisaatiossasi. Synkronoi ryhmäobjekti valitsemalla se Directory Connectorissa Kokoonpano > Objektin valinta valikosta. (Katso tarkemmat ohjeet osoitteesta Käyttöönottoopas Cisco Directory Connectorille.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa Hybrid Data Securityn käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys tulee ilmeiseksi heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Ota käyttöön hybriditietoturvaklusteri

                                                                                                                                                  Hybridin tietoturvan käyttöönottotehtäväkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

                                                                                                                                                  Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Muutoksia valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

                                                                                                                                                  9

                                                                                                                                                  Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
                                                                                                                                                  • Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  • Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  • Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
                                                                                                                                                  • Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

                                                                                                                                                  1. Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.

                                                                                                                                                  2. (Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433

                                                                                                                                                  4. Syötä Tietokannan nimi.

                                                                                                                                                  5. Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystila:

                                                                                                                                                  tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Valitse TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

                                                                                                                                                  1. Anna syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaus Jatkaa.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse Tiedosto > Ota käyttöön OVF-malli.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

                                                                                                                                                  4

                                                                                                                                                  Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

                                                                                                                                                  5

                                                                                                                                                  Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

                                                                                                                                                  8

                                                                                                                                                  Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

                                                                                                                                                  9

                                                                                                                                                  Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

                                                                                                                                                  • IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
                                                                                                                                                  • Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

                                                                                                                                                  Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianetsintävinkkejä

                                                                                                                                                  Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti.

                                                                                                                                                  Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
                                                                                                                                                  2

                                                                                                                                                  Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.

                                                                                                                                                  6. Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

                                                                                                                                                  2

                                                                                                                                                  Asenna ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  2. Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Anna HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
                                                                                                                                                  • Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.

                                                                                                                                                  3

                                                                                                                                                  Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

                                                                                                                                                  6

                                                                                                                                                  Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutaman minuutin sisällä.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa.

                                                                                                                                                  Register Hybrid Data Security Node -sivu tulee näkyviin.
                                                                                                                                                  4

                                                                                                                                                  Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM.

                                                                                                                                                  Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaus Siirry Nodeen.

                                                                                                                                                  8

                                                                                                                                                  Klikkaus Jatkaa varoitusviestissä.

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                  Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Klikkaus Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaus Siirry Nodeen.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  7. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                    Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilu tuotantotehtäväkulkuun

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  4

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Aloita kokeilujakso.

                                                                                                                                                  Palvelun tila vaihtuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  1. Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.
                                                                                                                                                  1

                                                                                                                                                  Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

                                                                                                                                                  Siirry kokeilusta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Poista käytöstä -osiossa Poista käytöstä.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

                                                                                                                                                  Hallitse HDS-käyttöönottoasi

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Ohjauskeskus.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.

                                                                                                                                                  3

                                                                                                                                                  Valitse Hybriditietoturvaresurssit-sivulla klusteri.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

                                                                                                                                                  Muuta solmun kokoonpanoa

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.

                                                                                                                                                  • Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6. Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.

                                                                                                                                                  8. Tuo nykyinen ISO-määritystiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

                                                                                                                                                  2

                                                                                                                                                  Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

                                                                                                                                                  1. Asenna HDS-isäntä OVA.

                                                                                                                                                  2. Asenna HDS VM.

                                                                                                                                                  3. Asenna päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

                                                                                                                                                  Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

                                                                                                                                                  Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Yleiskatsaus (oletussivu).

                                                                                                                                                  Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.

                                                                                                                                                  3

                                                                                                                                                  Siirry kohtaan Trust Store ja välityspalvelin sivu.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.

                                                                                                                                                  3. Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Klikkaus Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Klikkaus Toiminnot > Poista solmun rekisteröinti.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

                                                                                                                                                  Katastrofipalautus valmiustilan tietokeskuksen avulla

                                                                                                                                                  Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

                                                                                                                                                  (Valinnainen) Irrota ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

                                                                                                                                                  Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sulje yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Näytä hälytykset ja vianetsintä

                                                                                                                                                  Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

                                                                                                                                                  • Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)

                                                                                                                                                    • Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Pöytä 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet

                                                                                                                                                  Varoitus

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.

                                                                                                                                                  Paikallinen tietokantayhteys epäonnistui.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  Pilvipalvelurekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.

                                                                                                                                                  Paikallisen avainsäilytystiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.

                                                                                                                                                  3

                                                                                                                                                  Ottaa yhteyttä Ciscon tuki.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Luo PKCS12-tiedosto OpenSSL:n avulla

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto ystävällisellä nimellä kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  Liikenne HDS-solmujen ja pilven välillä

                                                                                                                                                  Lähtevän mittaustietojen keräämisen liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Sisääntuleva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Päivitykset solmuohjelmistoon

                                                                                                                                                  Määritä Squid-välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

                                                                                                                                                  Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol ohje squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uutta ja muuttunutta tietoa

                                                                                                                                                  Päiväys

                                                                                                                                                  Muutoksia tehty

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  07. elokuuta 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  06. joulukuuta 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  13. lokakuuta 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

                                                                                                                                                  30. huhtikuuta 2021

                                                                                                                                                  Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

                                                                                                                                                  24. helmikuuta 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

                                                                                                                                                  2. helmikuuta 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  11. tammikuuta 2021

                                                                                                                                                  Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  13. lokakuuta 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  8. lokakuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

                                                                                                                                                  14. elokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

                                                                                                                                                  16. kesäkuuta 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

                                                                                                                                                  4. kesäkuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

                                                                                                                                                  29. toukokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

                                                                                                                                                  5. toukokuuta 2020

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

                                                                                                                                                  21. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

                                                                                                                                                  1. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

                                                                                                                                                  20. helmikuuta 2020Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.
                                                                                                                                                  4. helmikuuta 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  16. joulukuuta 2019Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

                                                                                                                                                  8. marraskuuta 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat osiot vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

                                                                                                                                                  29. elokuuta 2019Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi.
                                                                                                                                                  20. elokuuta 2019

                                                                                                                                                  Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

                                                                                                                                                  13. kesäkuuta 2019Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  6. maaliskuuta 2019
                                                                                                                                                  28. helmikuuta 2019
                                                                                                                                                  • Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

                                                                                                                                                  26. helmikuuta 2019
                                                                                                                                                  • Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.

                                                                                                                                                  • Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

                                                                                                                                                  24. tammikuuta 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Server Always On (Always On Failover Clusters ja Always On Availability Groups) tukee JDBC-ajureita, joita käytetään Hybrid Data Securityssa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtoa PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  19. lokakuuta 2018

                                                                                                                                                  31. heinäkuuta 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  11. huhtikuuta 2018
                                                                                                                                                  22. helmikuuta 2018
                                                                                                                                                  15. helmikuuta 2018
                                                                                                                                                  • Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  18. tammikuuta 2018

                                                                                                                                                  2. marraskuuta 2017

                                                                                                                                                  • Selvennetty HdsTrialGroupin hakemistosynkronointi.

                                                                                                                                                  • Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

                                                                                                                                                  18. elokuuta 2017

                                                                                                                                                  Ensimmäinen julkaistu

                                                                                                                                                  Aloita hybriditietoturvan käyttö

                                                                                                                                                  Hybridin tietoturvan yleiskatsaus

                                                                                                                                                  Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

                                                                                                                                                  Erottelualueet (ilman hybriditietoturvaa)

                                                                                                                                                  Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.

                                                                                                                                                  Hybriditietoturvan käyttöönottoon liittyvät odotukset

                                                                                                                                                  Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

                                                                                                                                                  Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:

                                                                                                                                                  • Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.

                                                                                                                                                  • Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

                                                                                                                                                  • Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.

                                                                                                                                                  Standby Data Center katastrofipalautukseen

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasieto valmiustilaan

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

                                                                                                                                                  Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

                                                                                                                                                  Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Konfiguroinnin jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).

                                                                                                                                                  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvan vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Varmennevaatimukset

                                                                                                                                                  Varmenneketjun tulee täyttää seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi

                                                                                                                                                  • Ei ole jokerimerkkitodistus

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla.

                                                                                                                                                  Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.

                                                                                                                                                  Virtuaalipalvelimen vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ohjain 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.

                                                                                                                                                  • HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

                                                                                                                                                  Ulkoisen yhteyden vaatimukset

                                                                                                                                                  Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  pöytäkirja

                                                                                                                                                  Portti

                                                                                                                                                  Ohje sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asetustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yhteisen identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelinvaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP- tai HTTPS-protokollalla

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse HDS-asennuksellesi verkkotunnus (esim. hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välisertifikaatit. Varmenneketjun tulee täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (dbname) avainten tallennusta varten

                                                                                                                                                    • sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

                                                                                                                                                  5

                                                                                                                                                  Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat sisällön salaukseen ja salauksen purkamiseen käytetyt avaimet, toimivan käyttöönoton ylläpitämättä jättäminen johtaa PERUUTTAMATON tappio siitä sisällöstä.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja.

                                                                                                                                                  HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. The HdsTrialGroup objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeilun organisaatiossasi. Synkronoi ryhmäobjekti valitsemalla se Directory Connectorissa Kokoonpano > Objektin valinta valikosta. (Katso tarkemmat ohjeet osoitteesta Käyttöönottoopas Cisco Directory Connectorille.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa Hybrid Data Securityn käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys tulee ilmeiseksi heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Ota käyttöön hybriditietoturvaklusteri

                                                                                                                                                  Hybridin tietoturvan käyttöönottotehtäväkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

                                                                                                                                                  Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Muutoksia valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

                                                                                                                                                  9

                                                                                                                                                  Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
                                                                                                                                                  • Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  • Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  • Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
                                                                                                                                                  • Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

                                                                                                                                                  1. Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.

                                                                                                                                                  2. (Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433

                                                                                                                                                  4. Syötä Tietokannan nimi.

                                                                                                                                                  5. Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystila:

                                                                                                                                                  tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Valitse TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

                                                                                                                                                  1. Anna syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaus Jatkaa.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse Tiedosto > Ota käyttöön OVF-malli.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

                                                                                                                                                  4

                                                                                                                                                  Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

                                                                                                                                                  5

                                                                                                                                                  Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

                                                                                                                                                  8

                                                                                                                                                  Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

                                                                                                                                                  9

                                                                                                                                                  Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

                                                                                                                                                  • IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
                                                                                                                                                  • Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

                                                                                                                                                  Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianetsintävinkkejä

                                                                                                                                                  Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti.

                                                                                                                                                  Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
                                                                                                                                                  2

                                                                                                                                                  Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.

                                                                                                                                                  6. Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

                                                                                                                                                  2

                                                                                                                                                  Asenna ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  2. Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Anna HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
                                                                                                                                                  • Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.

                                                                                                                                                  3

                                                                                                                                                  Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

                                                                                                                                                  6

                                                                                                                                                  Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutaman minuutin sisällä.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa.

                                                                                                                                                  Register Hybrid Data Security Node -sivu tulee näkyviin.
                                                                                                                                                  4

                                                                                                                                                  Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM.

                                                                                                                                                  Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaus Siirry Nodeen.

                                                                                                                                                  8

                                                                                                                                                  Klikkaus Jatkaa varoitusviestissä.

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                  Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Klikkaus Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaus Siirry Nodeen.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  7. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                    Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilu tuotantotehtäväkulkuun

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  4

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Aloita kokeilujakso.

                                                                                                                                                  Palvelun tila vaihtuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  1. Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.
                                                                                                                                                  1

                                                                                                                                                  Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

                                                                                                                                                  Siirry kokeilusta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Poista käytöstä -osiossa Poista käytöstä.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

                                                                                                                                                  Hallitse HDS-käyttöönottoasi

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Ohjauskeskus.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.

                                                                                                                                                  3

                                                                                                                                                  Valitse Hybriditietoturvaresurssit-sivulla klusteri.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

                                                                                                                                                  Muuta solmun kokoonpanoa

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.

                                                                                                                                                  • Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6. Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.

                                                                                                                                                  8. Tuo nykyinen ISO-määritystiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

                                                                                                                                                  2

                                                                                                                                                  Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

                                                                                                                                                  1. Asenna HDS-isäntä OVA.

                                                                                                                                                  2. Asenna HDS VM.

                                                                                                                                                  3. Asenna päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

                                                                                                                                                  Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

                                                                                                                                                  Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Yleiskatsaus (oletussivu).

                                                                                                                                                  Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.

                                                                                                                                                  3

                                                                                                                                                  Siirry kohtaan Trust Store ja välityspalvelin sivu.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.

                                                                                                                                                  3. Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Klikkaus Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Klikkaus Toiminnot > Poista solmun rekisteröinti.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

                                                                                                                                                  Katastrofipalautus valmiustilan tietokeskuksen avulla

                                                                                                                                                  Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

                                                                                                                                                  (Valinnainen) Irrota ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

                                                                                                                                                  Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sulje yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Näytä hälytykset ja vianetsintä

                                                                                                                                                  Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

                                                                                                                                                  • Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)

                                                                                                                                                    • Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet

                                                                                                                                                  Varoitus

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.

                                                                                                                                                  Paikallinen tietokantayhteys epäonnistui.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  Pilvipalvelurekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.

                                                                                                                                                  Paikallisen avainsäilytystiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.

                                                                                                                                                  3

                                                                                                                                                  Ottaa yhteyttä Ciscon tuki.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Luo PKCS12-tiedosto OpenSSL:n avulla

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto ystävällisellä nimellä kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  Liikenne HDS-solmujen ja pilven välillä

                                                                                                                                                  Lähtevän mittaustietojen keräämisen liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Sisääntuleva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Päivitykset solmuohjelmistoon

                                                                                                                                                  Määritä Squid-välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

                                                                                                                                                  Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol ohje squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uutta ja muuttunutta tietoa

                                                                                                                                                  Päiväys

                                                                                                                                                  Muutoksia tehty

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  07. elokuuta 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  06. joulukuuta 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  13. lokakuuta 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

                                                                                                                                                  30. huhtikuuta 2021

                                                                                                                                                  Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

                                                                                                                                                  24. helmikuuta 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

                                                                                                                                                  2. helmikuuta 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  11. tammikuuta 2021

                                                                                                                                                  Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  13. lokakuuta 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  8. lokakuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

                                                                                                                                                  14. elokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

                                                                                                                                                  16. kesäkuuta 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

                                                                                                                                                  4. kesäkuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

                                                                                                                                                  29. toukokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

                                                                                                                                                  5. toukokuuta 2020

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

                                                                                                                                                  21. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

                                                                                                                                                  1. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

                                                                                                                                                  20. helmikuuta 2020Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.
                                                                                                                                                  4. helmikuuta 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  16. joulukuuta 2019Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

                                                                                                                                                  8. marraskuuta 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat osiot vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

                                                                                                                                                  29. elokuuta 2019Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi.
                                                                                                                                                  20. elokuuta 2019

                                                                                                                                                  Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

                                                                                                                                                  13. kesäkuuta 2019Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  6. maaliskuuta 2019
                                                                                                                                                  28. helmikuuta 2019
                                                                                                                                                  • Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

                                                                                                                                                  26. helmikuuta 2019
                                                                                                                                                  • Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.

                                                                                                                                                  • Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

                                                                                                                                                  24. tammikuuta 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Server Always On (Always On Failover Clusters ja Always On Availability Groups) tukee JDBC-ajureita, joita käytetään Hybrid Data Securityssa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtoa PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  19. lokakuuta 2018

                                                                                                                                                  31. heinäkuuta 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  11. huhtikuuta 2018
                                                                                                                                                  22. helmikuuta 2018
                                                                                                                                                  15. helmikuuta 2018
                                                                                                                                                  • Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  18. tammikuuta 2018

                                                                                                                                                  2. marraskuuta 2017

                                                                                                                                                  • Selvennetty HdsTrialGroupin hakemistosynkronointi.

                                                                                                                                                  • Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

                                                                                                                                                  18. elokuuta 2017

                                                                                                                                                  Ensimmäinen julkaistu

                                                                                                                                                  Aloita hybriditietoturvan käyttö

                                                                                                                                                  Hybridin tietoturvan yleiskatsaus

                                                                                                                                                  Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

                                                                                                                                                  Erottelualueet (ilman hybriditietoturvaa)

                                                                                                                                                  Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.

                                                                                                                                                  Hybriditietoturvan käyttöönottoon liittyvät odotukset

                                                                                                                                                  Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

                                                                                                                                                  Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:

                                                                                                                                                  • Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.

                                                                                                                                                  • Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

                                                                                                                                                  • Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.

                                                                                                                                                  Standby Data Center katastrofipalautukseen

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasieto valmiustilaan

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

                                                                                                                                                  Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

                                                                                                                                                  Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Konfiguroinnin jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).

                                                                                                                                                  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvan vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Varmennevaatimukset

                                                                                                                                                  Varmenneketjun tulee täyttää seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi

                                                                                                                                                  • Ei ole jokerimerkkitodistus

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla.

                                                                                                                                                  Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.

                                                                                                                                                  Virtuaalipalvelimen vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ohjain 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.

                                                                                                                                                  • HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

                                                                                                                                                  Ulkoisen yhteyden vaatimukset

                                                                                                                                                  Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  pöytäkirja

                                                                                                                                                  Portti

                                                                                                                                                  Ohje sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asetustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yhteisen identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelinvaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP- tai HTTPS-protokollalla

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse HDS-asennuksellesi verkkotunnus (esim. hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välisertifikaatit. Varmenneketjun tulee täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (dbname) avainten tallennusta varten

                                                                                                                                                    • sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

                                                                                                                                                  5

                                                                                                                                                  Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat sisällön salaukseen ja salauksen purkamiseen käytetyt avaimet, toimivan käyttöönoton ylläpitämättä jättäminen johtaa PERUUTTAMATON tappio siitä sisällöstä.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja.

                                                                                                                                                  HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. The HdsTrialGroup objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeilun organisaatiossasi. Synkronoi ryhmäobjekti valitsemalla se Directory Connectorissa Kokoonpano > Objektin valinta valikosta. (Katso tarkemmat ohjeet osoitteesta Käyttöönottoopas Cisco Directory Connectorille.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa Hybrid Data Securityn käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys tulee ilmeiseksi heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Ota käyttöön hybriditietoturvaklusteri

                                                                                                                                                  Hybridin tietoturvan käyttöönottotehtäväkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

                                                                                                                                                  Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Muutoksia valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

                                                                                                                                                  9

                                                                                                                                                  Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
                                                                                                                                                  • Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  • Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  • Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
                                                                                                                                                  • Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

                                                                                                                                                  1. Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.

                                                                                                                                                  2. (Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433

                                                                                                                                                  4. Syötä Tietokannan nimi.

                                                                                                                                                  5. Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystila:

                                                                                                                                                  tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Valitse TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

                                                                                                                                                  1. Anna syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaus Jatkaa.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse Tiedosto > Ota käyttöön OVF-malli.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

                                                                                                                                                  4

                                                                                                                                                  Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

                                                                                                                                                  5

                                                                                                                                                  Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

                                                                                                                                                  8

                                                                                                                                                  Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

                                                                                                                                                  9

                                                                                                                                                  Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

                                                                                                                                                  • IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
                                                                                                                                                  • Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

                                                                                                                                                  Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianetsintävinkkejä

                                                                                                                                                  Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti.

                                                                                                                                                  Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
                                                                                                                                                  2

                                                                                                                                                  Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.

                                                                                                                                                  6. Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

                                                                                                                                                  2

                                                                                                                                                  Asenna ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  2. Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Anna HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
                                                                                                                                                  • Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.

                                                                                                                                                  3

                                                                                                                                                  Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

                                                                                                                                                  6

                                                                                                                                                  Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutaman minuutin sisällä.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa.

                                                                                                                                                  Register Hybrid Data Security Node -sivu tulee näkyviin.
                                                                                                                                                  4

                                                                                                                                                  Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM.

                                                                                                                                                  Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaus Siirry Nodeen.

                                                                                                                                                  8

                                                                                                                                                  Klikkaus Jatkaa varoitusviestissä.

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                  Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Klikkaus Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaus Siirry Nodeen.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  7. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                    Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilu tuotantotehtäväkulkuun

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  4

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Aloita kokeilujakso.

                                                                                                                                                  Palvelun tila vaihtuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  1. Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.
                                                                                                                                                  1

                                                                                                                                                  Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

                                                                                                                                                  Siirry kokeilusta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Poista käytöstä -osiossa Poista käytöstä.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

                                                                                                                                                  Hallitse HDS-käyttöönottoasi

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Ohjauskeskus.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.

                                                                                                                                                  3

                                                                                                                                                  Valitse Hybriditietoturvaresurssit-sivulla klusteri.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

                                                                                                                                                  Muuta solmun kokoonpanoa

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.

                                                                                                                                                  • Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6. Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.

                                                                                                                                                  8. Tuo nykyinen ISO-määritystiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

                                                                                                                                                  2

                                                                                                                                                  Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

                                                                                                                                                  1. Asenna HDS-isäntä OVA.

                                                                                                                                                  2. Asenna HDS VM.

                                                                                                                                                  3. Asenna päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

                                                                                                                                                  Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

                                                                                                                                                  Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Yleiskatsaus (oletussivu).

                                                                                                                                                  Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.

                                                                                                                                                  3

                                                                                                                                                  Siirry kohtaan Trust Store ja välityspalvelin sivu.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.

                                                                                                                                                  3. Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Klikkaus Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Klikkaus Toiminnot > Poista solmun rekisteröinti.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

                                                                                                                                                  Katastrofipalautus valmiustilan tietokeskuksen avulla

                                                                                                                                                  Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

                                                                                                                                                  (Valinnainen) Irrota ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

                                                                                                                                                  Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sulje yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Näytä hälytykset ja vianetsintä

                                                                                                                                                  Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

                                                                                                                                                  • Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)

                                                                                                                                                    • Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet

                                                                                                                                                  Varoitus

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.

                                                                                                                                                  Paikallinen tietokantayhteys epäonnistui.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  Pilvipalvelurekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.

                                                                                                                                                  Paikallisen avainsäilytystiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.

                                                                                                                                                  3

                                                                                                                                                  Ottaa yhteyttä Ciscon tuki.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Luo PKCS12-tiedosto OpenSSL:n avulla

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto ystävällisellä nimellä kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  Liikenne HDS-solmujen ja pilven välillä

                                                                                                                                                  Lähtevän mittaustietojen keräämisen liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Sisääntuleva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Päivitykset solmuohjelmistoon

                                                                                                                                                  Määritä Squid-välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

                                                                                                                                                  Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol ohje squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uutta ja muuttunutta tietoa

                                                                                                                                                  Päiväys

                                                                                                                                                  Muutoksia tehty

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  07. elokuuta 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  06. joulukuuta 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  13. lokakuuta 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

                                                                                                                                                  30. huhtikuuta 2021

                                                                                                                                                  Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

                                                                                                                                                  24. helmikuuta 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

                                                                                                                                                  2. helmikuuta 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  11. tammikuuta 2021

                                                                                                                                                  Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  13. lokakuuta 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  8. lokakuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

                                                                                                                                                  14. elokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

                                                                                                                                                  16. kesäkuuta 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

                                                                                                                                                  4. kesäkuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

                                                                                                                                                  29. toukokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

                                                                                                                                                  5. toukokuuta 2020

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

                                                                                                                                                  21. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

                                                                                                                                                  1. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

                                                                                                                                                  20. helmikuuta 2020Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.
                                                                                                                                                  4. helmikuuta 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  16. joulukuuta 2019Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

                                                                                                                                                  8. marraskuuta 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat osiot vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

                                                                                                                                                  29. elokuuta 2019Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi.
                                                                                                                                                  20. elokuuta 2019

                                                                                                                                                  Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

                                                                                                                                                  13. kesäkuuta 2019Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  6. maaliskuuta 2019
                                                                                                                                                  28. helmikuuta 2019
                                                                                                                                                  • Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

                                                                                                                                                  26. helmikuuta 2019
                                                                                                                                                  • Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.

                                                                                                                                                  • Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

                                                                                                                                                  24. tammikuuta 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Server Always On (Always On Failover Clusters ja Always On Availability Groups) tukee JDBC-ajureita, joita käytetään Hybrid Data Securityssa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtoa PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  19. lokakuuta 2018

                                                                                                                                                  31. heinäkuuta 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  11. huhtikuuta 2018
                                                                                                                                                  22. helmikuuta 2018
                                                                                                                                                  15. helmikuuta 2018
                                                                                                                                                  • Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  18. tammikuuta 2018

                                                                                                                                                  2. marraskuuta 2017

                                                                                                                                                  • Selvennetty HdsTrialGroupin hakemistosynkronointi.

                                                                                                                                                  • Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

                                                                                                                                                  18. elokuuta 2017

                                                                                                                                                  Ensimmäinen julkaistu

                                                                                                                                                  Aloita hybriditietoturvan käyttö

                                                                                                                                                  Hybridin tietoturvan yleiskatsaus

                                                                                                                                                  Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

                                                                                                                                                  Erottelualueet (ilman hybriditietoturvaa)

                                                                                                                                                  Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.

                                                                                                                                                  Hybriditietoturvan käyttöönottoon liittyvät odotukset

                                                                                                                                                  Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

                                                                                                                                                  Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:

                                                                                                                                                  • Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.

                                                                                                                                                  • Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

                                                                                                                                                  • Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.

                                                                                                                                                  Standby Data Center katastrofipalautukseen

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasieto valmiustilaan

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

                                                                                                                                                  Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

                                                                                                                                                  Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Konfiguroinnin jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).

                                                                                                                                                  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvan vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Varmennevaatimukset

                                                                                                                                                  Varmenneketjun tulee täyttää seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi

                                                                                                                                                  • Ei ole jokerimerkkitodistus

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla.

                                                                                                                                                  Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.

                                                                                                                                                  Virtuaalipalvelimen vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ohjain 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.

                                                                                                                                                  • HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

                                                                                                                                                  Ulkoisen yhteyden vaatimukset

                                                                                                                                                  Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  pöytäkirja

                                                                                                                                                  Portti

                                                                                                                                                  Ohje sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asetustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yhteisen identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelinvaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP- tai HTTPS-protokollalla

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse HDS-asennuksellesi verkkotunnus (esim. hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välisertifikaatit. Varmenneketjun tulee täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (dbname) avainten tallennusta varten

                                                                                                                                                    • sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

                                                                                                                                                  5

                                                                                                                                                  Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat sisällön salaukseen ja salauksen purkamiseen käytetyt avaimet, toimivan käyttöönoton ylläpitämättä jättäminen johtaa PERUUTTAMATON tappio siitä sisällöstä.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja.

                                                                                                                                                  HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. The HdsTrialGroup objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeilun organisaatiossasi. Synkronoi ryhmäobjekti valitsemalla se Directory Connectorissa Kokoonpano > Objektin valinta valikosta. (Katso tarkemmat ohjeet osoitteesta Käyttöönottoopas Cisco Directory Connectorille.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa Hybrid Data Securityn käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys tulee ilmeiseksi heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Ota käyttöön hybriditietoturvaklusteri

                                                                                                                                                  Hybridin tietoturvan käyttöönottotehtäväkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

                                                                                                                                                  Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Muutoksia valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

                                                                                                                                                  9

                                                                                                                                                  Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
                                                                                                                                                  • Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  • Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  • Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
                                                                                                                                                  • Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

                                                                                                                                                  1. Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.

                                                                                                                                                  2. (Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433

                                                                                                                                                  4. Syötä Tietokannan nimi.

                                                                                                                                                  5. Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystila:

                                                                                                                                                  tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Valitse TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

                                                                                                                                                  1. Anna syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaus Jatkaa.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse Tiedosto > Ota käyttöön OVF-malli.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

                                                                                                                                                  4

                                                                                                                                                  Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

                                                                                                                                                  5

                                                                                                                                                  Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

                                                                                                                                                  8

                                                                                                                                                  Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

                                                                                                                                                  9

                                                                                                                                                  Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

                                                                                                                                                  • IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
                                                                                                                                                  • Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

                                                                                                                                                  Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianetsintävinkkejä

                                                                                                                                                  Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti.

                                                                                                                                                  Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
                                                                                                                                                  2

                                                                                                                                                  Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.

                                                                                                                                                  6. Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

                                                                                                                                                  2

                                                                                                                                                  Asenna ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  2. Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Anna HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
                                                                                                                                                  • Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.

                                                                                                                                                  3

                                                                                                                                                  Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

                                                                                                                                                  6

                                                                                                                                                  Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutaman minuutin sisällä.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa.

                                                                                                                                                  Register Hybrid Data Security Node -sivu tulee näkyviin.
                                                                                                                                                  4

                                                                                                                                                  Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM.

                                                                                                                                                  Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaus Siirry Nodeen.

                                                                                                                                                  8

                                                                                                                                                  Klikkaus Jatkaa varoitusviestissä.

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                  Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Klikkaus Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaus Siirry Nodeen.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  7. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                    Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilu tuotantotehtäväkulkuun

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  4

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Aloita kokeilujakso.

                                                                                                                                                  Palvelun tila vaihtuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  1. Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.
                                                                                                                                                  1

                                                                                                                                                  Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

                                                                                                                                                  Siirry kokeilusta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Poista käytöstä -osiossa Poista käytöstä.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

                                                                                                                                                  Hallitse HDS-käyttöönottoasi

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Ohjauskeskus.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.

                                                                                                                                                  3

                                                                                                                                                  Valitse Hybriditietoturvaresurssit-sivulla klusteri.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

                                                                                                                                                  Muuta solmun kokoonpanoa

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.

                                                                                                                                                  • Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6. Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.

                                                                                                                                                  8. Tuo nykyinen ISO-määritystiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

                                                                                                                                                  2

                                                                                                                                                  Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

                                                                                                                                                  1. Asenna HDS-isäntä OVA.

                                                                                                                                                  2. Asenna HDS VM.

                                                                                                                                                  3. Asenna päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

                                                                                                                                                  Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

                                                                                                                                                  Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Yleiskatsaus (oletussivu).

                                                                                                                                                  Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.

                                                                                                                                                  3

                                                                                                                                                  Siirry kohtaan Trust Store ja välityspalvelin sivu.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.

                                                                                                                                                  3. Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Klikkaus Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Klikkaus Toiminnot > Poista solmun rekisteröinti.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

                                                                                                                                                  Katastrofipalautus valmiustilan tietokeskuksen avulla

                                                                                                                                                  Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

                                                                                                                                                  (Valinnainen) Irrota ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

                                                                                                                                                  Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sulje yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Näytä hälytykset ja vianetsintä

                                                                                                                                                  Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

                                                                                                                                                  • Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)

                                                                                                                                                    • Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet

                                                                                                                                                  Varoitus

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.

                                                                                                                                                  Paikallinen tietokantayhteys epäonnistui.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  Pilvipalvelurekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.

                                                                                                                                                  Paikallisen avainsäilytystiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.

                                                                                                                                                  3

                                                                                                                                                  Ottaa yhteyttä Ciscon tuki.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Luo PKCS12-tiedosto OpenSSL:n avulla

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto ystävällisellä nimellä kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  Liikenne HDS-solmujen ja pilven välillä

                                                                                                                                                  Lähtevän mittaustietojen keräämisen liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Sisääntuleva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Päivitykset solmuohjelmistoon

                                                                                                                                                  Määritä Squid-välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

                                                                                                                                                  Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol ohje squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uutta ja muuttunutta tietoa

                                                                                                                                                  Päiväys

                                                                                                                                                  Muutoksia tehty

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  07. elokuuta 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  06. joulukuuta 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  13. lokakuuta 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

                                                                                                                                                  30. huhtikuuta 2021

                                                                                                                                                  Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

                                                                                                                                                  24. helmikuuta 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

                                                                                                                                                  2. helmikuuta 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  11. tammikuuta 2021

                                                                                                                                                  Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  13. lokakuuta 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  8. lokakuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

                                                                                                                                                  14. elokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

                                                                                                                                                  16. kesäkuuta 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

                                                                                                                                                  4. kesäkuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

                                                                                                                                                  29. toukokuuta 2020

                                                                                                                                                  Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

                                                                                                                                                  5. toukokuuta 2020

                                                                                                                                                  Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

                                                                                                                                                  21. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

                                                                                                                                                  1. huhtikuuta 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

                                                                                                                                                  20. helmikuuta 2020Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.
                                                                                                                                                  4. helmikuuta 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  16. joulukuuta 2019Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

                                                                                                                                                  8. marraskuuta 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat osiot vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

                                                                                                                                                  29. elokuuta 2019Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi.
                                                                                                                                                  20. elokuuta 2019

                                                                                                                                                  Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

                                                                                                                                                  13. kesäkuuta 2019Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  6. maaliskuuta 2019
                                                                                                                                                  28. helmikuuta 2019
                                                                                                                                                  • Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

                                                                                                                                                  26. helmikuuta 2019
                                                                                                                                                  • Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.

                                                                                                                                                  • Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

                                                                                                                                                  24. tammikuuta 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Server Always On (Always On Failover Clusters ja Always On Availability Groups) tukee JDBC-ajureita, joita käytetään Hybrid Data Securityssa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtoa PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  19. lokakuuta 2018

                                                                                                                                                  31. heinäkuuta 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  11. huhtikuuta 2018
                                                                                                                                                  22. helmikuuta 2018
                                                                                                                                                  15. helmikuuta 2018
                                                                                                                                                  • Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  18. tammikuuta 2018

                                                                                                                                                  2. marraskuuta 2017

                                                                                                                                                  • Selvennetty HdsTrialGroupin hakemistosynkronointi.

                                                                                                                                                  • Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

                                                                                                                                                  18. elokuuta 2017

                                                                                                                                                  Ensimmäinen julkaistu

                                                                                                                                                  Aloita hybriditietoturvan käyttö

                                                                                                                                                  Hybridin tietoturvan yleiskatsaus

                                                                                                                                                  Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

                                                                                                                                                  Erottelualueet (ilman hybriditietoturvaa)

                                                                                                                                                  Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.

                                                                                                                                                  Hybriditietoturvan käyttöönottoon liittyvät odotukset

                                                                                                                                                  Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

                                                                                                                                                  Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:

                                                                                                                                                  • Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.

                                                                                                                                                  • Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

                                                                                                                                                  • Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.

                                                                                                                                                  Standby Data Center katastrofipalautukseen

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasieto valmiustilaan

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

                                                                                                                                                  Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

                                                                                                                                                  Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Konfiguroinnin jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).

                                                                                                                                                  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.

                                                                                                                                                        Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvan vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Varmennevaatimukset

                                                                                                                                                  Varmenneketjun tulee täyttää seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi

                                                                                                                                                  • Ei ole jokerimerkkitodistus

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla.

                                                                                                                                                  Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.

                                                                                                                                                  Virtuaalipalvelimen vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ohjain 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.

                                                                                                                                                  • HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

                                                                                                                                                  Ulkoisen yhteyden vaatimukset

                                                                                                                                                  Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  pöytäkirja

                                                                                                                                                  Portti

                                                                                                                                                  Ohje sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asetustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yhteisen identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelinvaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP- tai HTTPS-protokollalla

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse HDS-asennuksellesi verkkotunnus (esim. hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välisertifikaatit. Varmenneketjun tulee täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (dbname) avainten tallennusta varten

                                                                                                                                                    • sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

                                                                                                                                                  5

                                                                                                                                                  Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat sisällön salaukseen ja salauksen purkamiseen käytetyt avaimet, toimivan käyttöönoton ylläpitämättä jättäminen johtaa PERUUTTAMATON tappio siitä sisällöstä.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja.

                                                                                                                                                  HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. The HdsTrialGroup objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeilun organisaatiossasi. Synkronoi ryhmäobjekti valitsemalla se Directory Connectorissa Kokoonpano > Objektin valinta valikosta. (Katso tarkemmat ohjeet osoitteesta Käyttöönottoopas Cisco Directory Connectorille.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa Hybrid Data Securityn käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys tulee ilmeiseksi heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Ota käyttöön hybriditietoturvaklusteri

                                                                                                                                                  Hybridin tietoturvan käyttöönottotehtäväkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

                                                                                                                                                  Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Muutoksia valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

                                                                                                                                                  9

                                                                                                                                                  Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
                                                                                                                                                  • Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

                                                                                                                                                  • Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  • Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
                                                                                                                                                  • Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

                                                                                                                                                  1. Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.

                                                                                                                                                  2. (Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433

                                                                                                                                                  4. Syötä Tietokannan nimi.

                                                                                                                                                  5. Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystila:

                                                                                                                                                  tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Valitse TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

                                                                                                                                                  1. Anna syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaus Jatkaa.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse Tiedosto > Ota käyttöön OVF-malli.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

                                                                                                                                                  4

                                                                                                                                                  Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

                                                                                                                                                  5

                                                                                                                                                  Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

                                                                                                                                                  8

                                                                                                                                                  Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

                                                                                                                                                  9

                                                                                                                                                  Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

                                                                                                                                                  • IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
                                                                                                                                                  • Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

                                                                                                                                                  Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianetsintävinkkejä

                                                                                                                                                  Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Määritä Hybrid Data Security VM

                                                                                                                                                  Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti.

                                                                                                                                                  Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
                                                                                                                                                  2

                                                                                                                                                  Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS Configuration ISO

                                                                                                                                                  Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.

                                                                                                                                                  6. Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

                                                                                                                                                  2

                                                                                                                                                  Asenna ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  2. Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

                                                                                                                                                  Määritä HDS-solmu välityspalvelinintegraatiota varten

                                                                                                                                                  Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Anna HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
                                                                                                                                                  • Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.

                                                                                                                                                    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään-Lisätunnistusta ei tarvita.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                      • Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Saatavilla vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.

                                                                                                                                                  3

                                                                                                                                                  Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

                                                                                                                                                  6

                                                                                                                                                  Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutaman minuutin sisällä.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa.

                                                                                                                                                  Register Hybrid Data Security Node -sivu tulee näkyviin.
                                                                                                                                                  4

                                                                                                                                                  Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM.

                                                                                                                                                  Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaus Siirry Nodeen.

                                                                                                                                                  8

                                                                                                                                                  Klikkaus Jatkaa varoitusviestissä.

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                  Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Klikkaus Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaus Siirry Nodeen.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi.
                                                                                                                                                  7. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa.

                                                                                                                                                    Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava kappale)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilu tuotantotehtäväkulkuun

                                                                                                                                                  Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  4

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Aloita kokeilujakso.

                                                                                                                                                  Palvelun tila vaihtuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvaasi

                                                                                                                                                  Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

                                                                                                                                                  1. Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Tarkkaile hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.
                                                                                                                                                  1

                                                                                                                                                  Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeiluversiostasi

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

                                                                                                                                                  Siirry kokeilusta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Poista käytöstä -osiossa Poista käytöstä.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

                                                                                                                                                  Hallitse HDS-käyttöönottoasi

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Ohjauskeskus.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.

                                                                                                                                                  3

                                                                                                                                                  Valitse Hybriditietoturvaresurssit-sivulla klusteri.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

                                                                                                                                                  Muuta solmun kokoonpanoa

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.

                                                                                                                                                  • Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

                                                                                                                                                    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, anna ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

                                                                                                                                                  6. Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.

                                                                                                                                                  8. Tuo nykyinen ISO-määritystiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Sulje Setup-työkalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

                                                                                                                                                  2

                                                                                                                                                  Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

                                                                                                                                                  1. Asenna HDS-isäntä OVA.

                                                                                                                                                  2. Asenna HDS VM.

                                                                                                                                                  3. Asenna päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.

                                                                                                                                                  4. Tarkistaa Yhdistä virran ollessa kytkettynä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

                                                                                                                                                  Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

                                                                                                                                                  Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Mene Yleiskatsaus (oletussivu).

                                                                                                                                                  Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.

                                                                                                                                                  3

                                                                                                                                                  Siirry kohtaan Trust Store ja välityspalvelin sivu.

                                                                                                                                                  4

                                                                                                                                                  Klikkaus Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.

                                                                                                                                                  3. Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Klikkaus Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Klikkaus Toiminnot > Poista solmun rekisteröinti.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

                                                                                                                                                  Katastrofipalautus valmiustilan tietokeskuksen avulla

                                                                                                                                                  Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

                                                                                                                                                  (Valinnainen) Irrota ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

                                                                                                                                                  Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sulje yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Näytä hälytykset ja vianetsintä

                                                                                                                                                  Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

                                                                                                                                                  • Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)

                                                                                                                                                    • Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet

                                                                                                                                                  Varoitus

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.

                                                                                                                                                  Paikallinen tietokantayhteys epäonnistui.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.

                                                                                                                                                  Pilvipalvelurekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.

                                                                                                                                                  Paikallisen avainsäilytystiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianetsintä

                                                                                                                                                  Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.

                                                                                                                                                  3

                                                                                                                                                  Ottaa yhteyttä Ciscon tuki.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Luo PKCS12-tiedosto OpenSSL:n avulla

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto ystävällisellä nimellä kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  Liikenne HDS-solmujen ja pilven välillä

                                                                                                                                                  Lähtevän mittaustietojen keräämisen liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Sisääntuleva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Päivitykset solmuohjelmistoon

                                                                                                                                                  Määritä Squid-välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

                                                                                                                                                  Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol ohje squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uudet ja muuttuneet tiedot

                                                                                                                                                  Päiväys

                                                                                                                                                  Tehdyt muutokset

                                                                                                                                                  20. lokakuuta 2023

                                                                                                                                                  elokuu 07, 2023

                                                                                                                                                  23. toukokuuta 2023

                                                                                                                                                  joulukuu 06, 2022

                                                                                                                                                  23. marraskuuta 2022

                                                                                                                                                  lokakuu 13, 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

                                                                                                                                                  24. kesäkuuta 2021

                                                                                                                                                  Huomaa, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja osoitteesta Käytä OpenSSL:ää PKCS12-tiedoston luomiseen .

                                                                                                                                                  huhtikuu 30, 2021

                                                                                                                                                  Muutettiin VM:n vaatimus paikallisen kiintolevytilan osalta 30 Gt:ksi. Katso lisätietoja osoitteesta Virtual Host Requirements .

                                                                                                                                                  helmikuu 24, 2021

                                                                                                                                                  HDS Setup Tool voi nyt toimia välityspalvelimen takana. Lisätietoja on osoitteessa Create a Configuration ISO for the HDS Hosts .

                                                                                                                                                  helmikuu 2, 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

                                                                                                                                                  tammikuu 11, 2021

                                                                                                                                                  Lisätty tietoa HDS Setup -työkalusta ja välityspalvelimista osoitteeseen Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  lokakuu 13, 2020

                                                                                                                                                  Päivitetty Lataa asennustiedostot.

                                                                                                                                                  lokakuu 8, 2020

                                                                                                                                                  Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota FedRAMP-ympäristöjen komennoilla.

                                                                                                                                                  elokuu 14, 2020

                                                                                                                                                  Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen kirjautumisprosessiin tehdyillä muutoksilla.

                                                                                                                                                  5. elokuuta 2020

                                                                                                                                                  Päivitetty Test Your Hybrid Data Security Deployment lokiviestien muutosten osalta.

                                                                                                                                                  Päivitetty Virtual Host Requirements poistamalla isäntien enimmäismäärä.

                                                                                                                                                  kesäkuu 16, 2020

                                                                                                                                                  Päivitetty Poista solmu Control Hub -käyttöliittymän muutosten vuoksi.

                                                                                                                                                  kesäkuu 4, 2020

                                                                                                                                                  Päivitetty Create a Configuration ISO for the HDS Hosts mahdollisten lisäasetusten muutosten vuoksi.

                                                                                                                                                  toukokuu 29, 2020

                                                                                                                                                  Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen kanssa, käyttöliittymämuutoksia ja muita selvennyksiä.

                                                                                                                                                  toukokuu 5, 2020

                                                                                                                                                  Päivitetty Virtual Host Requirements näyttämään ESXi 6.5:n uudet vaatimukset.

                                                                                                                                                  huhtikuu 21, 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset uusilla Americas CI -isännillä.

                                                                                                                                                  huhtikuu 1, 2020

                                                                                                                                                  Päivitetty Ulkoisen yhteyden vaatimukset alueellisia CI-isäntiä koskevilla tiedoilla.

                                                                                                                                                  helmikuu 20, 2020Päivitetty Create a Configuration ISO for the HDS Hosts ja lisätty tietoja HDS Setup Toolin uudesta valinnaisesta Advanced Settings -näytöstä.
                                                                                                                                                  helmikuu 4, 2020Päivitetty Välityspalvelinvaatimukset.
                                                                                                                                                  joulukuu 16, 2019Selkeytetty vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii osoitteessa Proxy Server Requirements.
                                                                                                                                                  19. marraskuuta 2019

                                                                                                                                                  Seuraaviin osioihin on lisätty tietoa estetystä ulkoisesta DNS-resoluutiotilasta:

                                                                                                                                                  marraskuu 8, 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä vasta sen jälkeen.

                                                                                                                                                  Päivitetty seuraavat kohdat vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  6. syyskuuta 2019

                                                                                                                                                  Lisätty SQL Server Standard osoitteeseen Tietokantapalvelinvaatimukset.

                                                                                                                                                  elokuu 29, 2019Lisätty Configure Squid Proxies for Hybrid Data Security -liite, jossa on ohjeita Squid-välityspalvelimien määrittämisestä niin, että ne eivät huomioi websocket-liikennettä, jotta ne toimisivat oikein.
                                                                                                                                                  elokuu 20, 2019

                                                                                                                                                  Lisätty ja päivitetty osioita, jotka kattavat hybriditietoturvasolmujen välitystuen Webex-pilvipalvelimille.

                                                                                                                                                  Jos haluat käyttää vain olemassa olevan käyttöönoton välitystuen sisältöä, katso Proxy Support for Hybrid Data Security and Webex Video Mesh -ohjeartikkeli.

                                                                                                                                                  kesäkuu 13, 2019Päivitetty Trial to Production Task Flow muistutuksella synkronoida HdsTrialGroup -ryhmäobjekti ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  maaliskuu 6, 2019
                                                                                                                                                  helmikuu 28, 2019
                                                                                                                                                  • Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrää, joka sinun tulisi varata valmistellessasi virtuaalisia isäntiä, joista tulee hybridi tietoturvasolmuja, 50 Gt:stä 20 Gt:iin, jotta se vastaa OVA:n luomaa levyn kokoa.

                                                                                                                                                  helmikuu 26, 2019
                                                                                                                                                  • Hybriditietoturvasolmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja kirjausyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Create a Configuration ISO for the HDS Hosts ohjeineen.

                                                                                                                                                  • Poistettiin kohde-URL-osoitteet taulukosta "Hybriditietoturvasolmujen VM:ien Internet-yhteysvaatimukset". Taulukko viittaa nyt luetteloon, jota ylläpidetään "Additional URLs for Webex Teams Hybrid Services" -taulukossa osoitteessa Network Requirements for Webex Teams Services.

                                                                                                                                                  tammikuu 24, 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Serverin Always On (Always On Failover Clusters ja Always On Availability Groups) on tuettu JDBC-ajureilla, joita käytetään Hybrid Data Security -ohjelmassa. Lisätty sisältöä, joka liittyy käyttöönottoon SQL Serverin kanssa.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käytössä.

                                                                                                                                                  5. marraskuuta 2018
                                                                                                                                                  lokakuu 19, 2018

                                                                                                                                                  heinäkuu 31, 2018

                                                                                                                                                  toukokuu 21, 2018

                                                                                                                                                  Muutettu terminologiaa vastaamaan Cisco Sparkin brändinmuutosta:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  huhtikuu 11, 2018
                                                                                                                                                  helmikuu 22, 2018
                                                                                                                                                  helmikuu 15, 2018
                                                                                                                                                  • Määritä X.509 Certificate Requirements -taulukossa, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään x.509v3 SAN-kenttiin määritettyä toimialuetta.

                                                                                                                                                  tammikuu 18, 2018

                                                                                                                                                  marraskuu 2, 2017

                                                                                                                                                  • HdsTrialGroupin hakemistosynkronointia on selkeytetty.

                                                                                                                                                  • Korjattu ohjeet ISO-kokoonpanotiedoston lataamisesta VM-solmujen asennusta varten.

                                                                                                                                                  elokuu 18, 2017

                                                                                                                                                  Julkaistu ensimmäisen kerran

                                                                                                                                                  Aloita hybridi-tietoturva

                                                                                                                                                  Yleiskatsaus hybriditietojen tietoturvaan

                                                                                                                                                  Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

                                                                                                                                                  Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

                                                                                                                                                  Turvallisuusalueen arkkitehtuuri

                                                                                                                                                  Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

                                                                                                                                                  Erillisalueet (ilman hybriditietoturvaa)

                                                                                                                                                  Jotta hybriditietoturvaa voitaisiin ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennuskenttään.

                                                                                                                                                  Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .

                                                                                                                                                  Hybriditietoturvan käyttöönottoa koskevat odotukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto edellyttää asiakkaan merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavainten omistamiseen liittyy.

                                                                                                                                                  Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

                                                                                                                                                  Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

                                                                                                                                                  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

                                                                                                                                                  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:

                                                                                                                                                  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

                                                                                                                                                    Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

                                                                                                                                                  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja niitä voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

                                                                                                                                                  Tuemme vain yhtä klusteria per organisaatio.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".

                                                                                                                                                  Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopioita klusterin hybriditietoturvasolmujen osalta.

                                                                                                                                                  Valmiustietokeskus katastrofista toipumista varten

                                                                                                                                                  Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

                                                                                                                                                  Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
                                                                                                                                                  Manuaalinen viansiirto valmiustietokeskukseen

                                                                                                                                                  Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

                                                                                                                                                  Aseta varalla oleva datakeskus katastrofihyötykäyttöä varten

                                                                                                                                                  Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Varatietokeskuksen tulisi peilata VM:ien tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokannan varmuuskopiota. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. (Yleiskatsaus tähän vikasietoisuuteen on osoitteessa Standby Data Center for Disaster Recovery .)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisen ja passiivisen klusterin solmujen tietokantojen välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset on tarkoitus tehdä.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

                                                                                                                                                  3

                                                                                                                                                  Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.

                                                                                                                                                   passiveMode: 'true' 

                                                                                                                                                  4

                                                                                                                                                  Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustietokeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslogien avulla, että solmut ovat passiivisessa tilassa. Syslogeissa pitäisi näkyä viesti "KMS configured in passive mode".

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Kun olet määrittänyt passiveMode ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode -määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode , voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Yksityiskohtainen vikasietoinen vikasietoisuusmenettely on osoitteessa Disaster Recovery using Standby Data Center .

                                                                                                                                                  Proxy-tuki

                                                                                                                                                  Hybrid Data Security tukee nimenomaisia, läpinäkyviä ja ei-tarkistavia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

                                                                                                                                                  Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

                                                                                                                                                  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

                                                                                                                                                    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP-näkyy ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

                                                                                                                                                    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

                                                                                                                                                      • Ei ole- Muita todennuksia ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

                                                                                                                                                        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.

                                                                                                                                                        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvän tarkastuksen ja HTTPS:n nimenomaisen tarkastuksen välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvaa koskevat vaatimukset

                                                                                                                                                  Cisco Webexin lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

                                                                                                                                                  X.509-varmenteen vaatimukset

                                                                                                                                                  Varmenteketjun on täytettävä seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotettavan varmentajan (CA) allekirjoittama.

                                                                                                                                                  Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi Hybrid Data Security -käyttöönoton.

                                                                                                                                                  • Ei ole jokerimerkkivarmenne

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä.

                                                                                                                                                  • Muu kuin SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

                                                                                                                                                  Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

                                                                                                                                                  Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

                                                                                                                                                  KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

                                                                                                                                                  Virtuaalisen isännän vaatimukset

                                                                                                                                                  Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

                                                                                                                                                  Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ajuri 42.2.5

                                                                                                                                                  SQL Server JDBC -ajuri 4.6

                                                                                                                                                  Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

                                                                                                                                                  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

                                                                                                                                                  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

                                                                                                                                                  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

                                                                                                                                                    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

                                                                                                                                                  Ulkoiset liitäntävaatimukset

                                                                                                                                                  Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

                                                                                                                                                  Sovellus

                                                                                                                                                  Protokolla

                                                                                                                                                  Portti

                                                                                                                                                  Suunta sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

                                                                                                                                                  HDS-asennustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.

                                                                                                                                                  Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yleiset identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Americas

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelimen vaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

                                                                                                                                                    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Digest-todennus vain HTTPS:n kanssa

                                                                                                                                                  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-yksiselitteisen välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

                                                                                                                                                  Täytä hybridi-tietoturvan edellytykset.

                                                                                                                                                  Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

                                                                                                                                                    • isännän nimi tai IP-osoite (host) ja portti.

                                                                                                                                                    • tietokannan nimi (dbname), johon avaimet tallennetaan.

                                                                                                                                                    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

                                                                                                                                                  5

                                                                                                                                                  Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.


                                                                                                                                                   

                                                                                                                                                  Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

                                                                                                                                                  Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjät. Kokeiluryhmässä voi olla enintään 250 käyttäjää. HdsTrialGroup -objekti on synkronoitava pilvipalveluun, ennen kuin voit aloittaa organisaatiosi kokeilun. Jos haluat synkronoida ryhmäkohteen, valitse se Directory Connectorin Configuration > Object Selection -valikossa. (Yksityiskohtaiset ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Avaimet tietylle tilalle asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Häviö näkyy heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Hybriditietoturvaklusterin perustaminen

                                                                                                                                                  Hybriditietoturvan käyttöönoton tehtävävirta

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Hybriditietoturva VM:n määrittäminen

                                                                                                                                                  Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

                                                                                                                                                  Määritä VM HDS Setup Tool -työkalulla luomastasi ISO-kokoonpanotiedostosta.

                                                                                                                                                  6

                                                                                                                                                  HDS-solmun määrittäminen välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava luku).

                                                                                                                                                  Kunnes aloitat kokeilun, solmupisteesi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Set up.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioon. Anna heille tilinumerosi ja pyydä ottamaan organisaatiosi käyttöön Hybrid Data Security. Löydät tilinumeron napsauttamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa Help -osiosta Settings -sivulla. Avaa sivu Hybrid Data Security -kortilla napsauttamalla Muokkaa asetuksia . Napsauta sitten Lataa Hybrid Data Security -ohjelmisto kohdassa Ohje .


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Voit myös valita Avaa käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

                                                                                                                                                    HTTP-välityspalvelin todennuksen kanssa

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Todistuksen päivitykset

                                                                                                                                                    • Muutokset valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa imago ympäristöllesi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

                                                                                                                                                  Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita Control Hubin asiakkaan admin-käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakkaan järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Tool -katsaussivulla Get Started.

                                                                                                                                                  9

                                                                                                                                                  ISO Import -sivulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
                                                                                                                                                  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

                                                                                                                                                  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
                                                                                                                                                  • Jos varmenne on OK, valitse Jatka.
                                                                                                                                                  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

                                                                                                                                                  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

                                                                                                                                                  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

                                                                                                                                                    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

                                                                                                                                                  4. Kirjoita tietokannan nimi.

                                                                                                                                                  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystapa:

                                                                                                                                                  Tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Prefer TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  Vaadi TLS ja tarkista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

                                                                                                                                                  Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

                                                                                                                                                  Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

                                                                                                                                                  1. Kirjoita syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

                                                                                                                                                  4. Napsauta Jatka.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxKoko: 10
                                                                                                                                                  15

                                                                                                                                                  Napsauta Jatka Reset Service Accounts Password -näytössä.

                                                                                                                                                  Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

                                                                                                                                                  16

                                                                                                                                                  Napsauta Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

                                                                                                                                                  2

                                                                                                                                                  Valitse File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

                                                                                                                                                  Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Next.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

                                                                                                                                                  8

                                                                                                                                                  Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

                                                                                                                                                  9

                                                                                                                                                  Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

                                                                                                                                                  10

                                                                                                                                                  Määritä seuraavat verkkoasetukset sivulla Mukauta mallia :

                                                                                                                                                  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

                                                                                                                                                    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

                                                                                                                                                  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
                                                                                                                                                  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
                                                                                                                                                  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.
                                                                                                                                                  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

                                                                                                                                                  Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianmääritysvinkkejä

                                                                                                                                                  Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Hybriditietoturva VM:n määrittäminen

                                                                                                                                                  Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

                                                                                                                                                  VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
                                                                                                                                                  2

                                                                                                                                                  Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

                                                                                                                                                  4

                                                                                                                                                  Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

                                                                                                                                                  Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

                                                                                                                                                  Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

                                                                                                                                                  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

                                                                                                                                                  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

                                                                                                                                                  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

                                                                                                                                                  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

                                                                                                                                                  2

                                                                                                                                                  Kiinnitä ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

                                                                                                                                                  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

                                                                                                                                                  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa sijaintiin, johon olet ladannut kokoonpanon ISO-tiedoston.

                                                                                                                                                  4. Tarkista Kytketty ja Kytke virta päälle.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

                                                                                                                                                  HDS-solmun määrittäminen välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
                                                                                                                                                  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

                                                                                                                                                    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

                                                                                                                                                    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

                                                                                                                                                      • Ei ole- Muita todennuksia ei tarvita.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

                                                                                                                                                        Käytettävissä vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                  Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

                                                                                                                                                  Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, kytke vain https:n välityspalvelimeksi asetetun eksplisiittisen välityspalvelimen kytkin päälle, jotta reitittää kaikki porttien 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimen kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

                                                                                                                                                  6

                                                                                                                                                  Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen asennus) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen asennus), lue kehote ja napsauta sitten Asenna , jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutamassa minuutissa.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybrid Data Security ja napsauta Set up.

                                                                                                                                                  Näyttöön tulee Register Hybrid Data Security Node -sivu.
                                                                                                                                                  4

                                                                                                                                                  Valitse Kyllä osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään sen klusterin nimi, johon haluat määrittää hybriditietoturvasolmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

                                                                                                                                                  Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Napsauta Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Napsauta varoitusviestissä Jatka .

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

                                                                                                                                                  Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Hybrid Data Security -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriin lisäsolmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä varmuuskopio-VM:t, jotka luot osoitteessa Complete the Prerequisites for Hybrid Data Security , ovat valmiusisäntiä, joita käytetään vain katastrofista toipumisen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on osoitteessa Disaster Recovery using Standby Data Center.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

                                                                                                                                                  3

                                                                                                                                                  Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturva-kortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Napsauta Add Resource.

                                                                                                                                                  4. Valitse ensimmäiseen kenttään olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next.

                                                                                                                                                    Näyttöön tulee viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen.
                                                                                                                                                  6. Napsauta Go to Node.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.
                                                                                                                                                  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

                                                                                                                                                    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava luku).
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilusta tuotantoon tehtävänkulku

                                                                                                                                                  Kun olet perustanut Hybrid Data Security -klusterin, voit aloittaa pilottihankkeen, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen tuotantoon siirtymistä varten.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup -ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi Trial

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvan käyttöönottoa

                                                                                                                                                  Tarkista, että keskeiset pyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  4

                                                                                                                                                  Hybriditietojen tietoturvan tilan seuranta

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeilusta

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi Trial

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa organisaatiosi kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -osiossa Käynnistä kokeilu.

                                                                                                                                                  Palvelun tila muuttuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Napsauta Add Users ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla Hybrid Data Security -solmujen käyttöä salaus- ja indeksointipalveluihin.

                                                                                                                                                  (Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directoryta kokeiluryhmän hallintaan, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvan käyttöönottoa

                                                                                                                                                  Tällä menettelyllä voit testata hybriditietoturvan salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä hybriditietoturvan käyttöönotto.

                                                                                                                                                  • Aktivoi kokeiluversio ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  1

                                                                                                                                                  Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat Hybrid Data Security -käyttöönoton käytöstä, pilottikäyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeiset kopiot on korvattu.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybriditietojen tietoturvan tilan seuranta

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
                                                                                                                                                  1

                                                                                                                                                  Valitse Control Hubissa näytön vasemmassa reunassa olevasta valikosta Palvelut .

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeilusta

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjät, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilujakson ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilusta, käyttäjän asiakas pyytää avaimia ja avainten luomista pilvipalvelun KMS:stä oman KMS:n sijasta. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS-järjestelmään, pilvi-KMS hakee sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijasta) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa heitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiä tai poista käyttäjät kokeilusta napsauttamalla Näytä ja muokkaa .

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeilusta napsauttamalla käyttäjätunnuksen vieressä olevaa X . Napsauta sitten Tallenna.

                                                                                                                                                  Siirtyminen kokeilusta tuotantoon

                                                                                                                                                  Kun olet tyytyväinen siihen, että käyttöönotto toimii hyvin kokeilukäyttäjien kannalta, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvakentän palveluihin. Et voi siirtyä takaisin kokeilutilaan tuotantotilasta, ellet poista palvelua käytöstä osana palautusta. Palvelun aktivoiminen uudelleen edellyttää uuden kokeilujakson määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -osiossa Siirry tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana, ettet jatka Hybrid Data Securityn käyttöönottoa, voit poistaa Hybrid Data Securityn käytöstä, jolloin kokeilu päättyy ja kokeilukäyttäjät siirtyvät takaisin pilvipalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeilun aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Deaktivoi-osiossa Deaktivoi.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä ja lopettaa kokeilujakson.

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Hallitse HDS:n käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

                                                                                                                                                  Päivityksen aikataulun asettaminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdasta Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Valitse klusteri Hybriditietoturvaresurssit-sivulla.

                                                                                                                                                  4

                                                                                                                                                  Valitse klusterin nimi oikeanpuoleisen Yleiskatsaus-paneelin Klusterin asetukset -kohdasta.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone.

                                                                                                                                                  Solmun kokoonpanon muuttaminen

                                                                                                                                                  Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaoloaika lähestyy, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

                                                                                                                                                  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

                                                                                                                                                  Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

                                                                                                                                                    HTTP-välityspalvelin todennuksen kanssa

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin todennuksen kanssa

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa ympäristösi uusin vakaa image:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

                                                                                                                                                  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

                                                                                                                                                  8. Tuo nykyinen kokoonpano ISO-tiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

                                                                                                                                                  2

                                                                                                                                                  Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and Register More Nodes.

                                                                                                                                                  1. Asenna HDS-isännän OVA.

                                                                                                                                                  2. Määritä HDS VM.

                                                                                                                                                  3. Kiinnitä päivitetty asetustiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

                                                                                                                                                  4. Tarkista Kytke virta päälle.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

                                                                                                                                                  Sammuta estetty ulkoinen DNS-resoluutiotila

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

                                                                                                                                                  Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry osoitteeseen Overview (oletussivu).

                                                                                                                                                  Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

                                                                                                                                                  3

                                                                                                                                                  Siirry Trust Store & Proxy -sivulle.

                                                                                                                                                  4

                                                                                                                                                  Napsauta Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

                                                                                                                                                  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

                                                                                                                                                  4. Napsauta Avaa solmujen luettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdeltä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Napsauta Toiminnot > Solmun poistaminen rekisteristä.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

                                                                                                                                                  Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

                                                                                                                                                  Katastrofista palautuminen varalla olevan datakeskuksen avulla

                                                                                                                                                  Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

                                                                                                                                                  Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

                                                                                                                                                  3

                                                                                                                                                  Lisää Advanced Settings -sivulla alla oleva määritys tai poista passiveMode -määritys, jotta solmusta tulee aktiivinen. Solmu voi käsitellä liikennettä, kun tämä on määritetty.

                                                                                                                                                   passiveMode: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustietokeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-tulosteesta, että varalla olevan tietokeskuksen solmut eivät ole passiivisessa tilassa. "KMS configured in passive mode" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen datakeskus muuttuu jälleen aktiiviseksi vikatilanteen jälkeen, aseta varalla oleva datakeskus jälleen passiiviseen tilaan noudattamalla kohdassa Setup Standby Data Center for Disaster Recovery kuvattuja vaiheita.

                                                                                                                                                  (Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

                                                                                                                                                  HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liittämisen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

                                                                                                                                                  Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet kokoonpanomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sammuta yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliance -laitteessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista tämä vuorotellen jokaiselle HDS-solmulle.

                                                                                                                                                  Vianmääritys hybridi tietoturva

                                                                                                                                                  Näytä hälytykset ja vianmääritys

                                                                                                                                                  Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

                                                                                                                                                  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

                                                                                                                                                  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

                                                                                                                                                    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

                                                                                                                                                    • Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

                                                                                                                                                  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

                                                                                                                                                  On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palvelukatkokset.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos hybriditietoturva-asetuksissa on ongelmia, Control Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

                                                                                                                                                  Hälytys

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttöhäiriö.

                                                                                                                                                  Tarkista tietokantavirheet tai lähiverkko-ongelmat.

                                                                                                                                                  Paikallisen tietokantayhteyden epäonnistuminen.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttöhäiriö.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

                                                                                                                                                  Pilvipalvelun rekisteröinnin uusiminen.

                                                                                                                                                  Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti lopetettu.

                                                                                                                                                  Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai siirrä kokeilu tuotantoon.

                                                                                                                                                  Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

                                                                                                                                                  Pilvipalveluiden todennus epäonnistui.

                                                                                                                                                  Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

                                                                                                                                                  Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

                                                                                                                                                  Ei pysty lähettämään mittareita.

                                                                                                                                                  Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Vianmääritys hybridi tietoturva

                                                                                                                                                  Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta.

                                                                                                                                                  3

                                                                                                                                                  Ota yhteyttä Ciscon tukeen.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Control Hubista tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Tämä koskee sekä kokeilu- että tuotantokäyttöä. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee hybriditietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes sen kesto päättyy. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja palata Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin koekäyttäjät, joilla on olemassa olevat ECDH-yhteydet aiempiin tietoturvapalveluihin, käyttävät näitä palveluja edelleen, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja uudelleen sisään).

                                                                                                                                                  Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto, jonka nimi on kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  HDS-solmujen ja pilvipalvelun välinen liikenne

                                                                                                                                                  Lähtevien mittareiden keräysliikenne

                                                                                                                                                  Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Saapuva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

                                                                                                                                                  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

                                                                                                                                                  • Solmuohjelmiston päivitykset

                                                                                                                                                  Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

                                                                                                                                                  HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmarit 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

                                                                                                                                                  on_unsupported_protocol tunneli kaikki

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Esipuhe

                                                                                                                                                  Uudet ja muuttuneet tiedot

                                                                                                                                                  Päiväys

                                                                                                                                                  Tehdyt muutokset

                                                                                                                                                  lokakuu 20, 2023

                                                                                                                                                  Elokuu 07, 2023

                                                                                                                                                  touko 23, 2023

                                                                                                                                                  Joulukuu 06, 2022

                                                                                                                                                  marraskuu 23, 2022

                                                                                                                                                  lokakuu 13, 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Dockerin työpöytävaatimukset.

                                                                                                                                                  kesäkuu 24, 2021

                                                                                                                                                  Huomaa, että voit käyttää yksityistä avaintiedostoa ja CSR: ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja kohdasta OpenSSL:n käyttäminen PKCS12-tiedoston luomiseen.

                                                                                                                                                  huhtikuu 30, 2021

                                                                                                                                                  Paikallisen kiintolevytilan virtuaalikonevaatimus muutettiin 30 gigatavuun. Katso lisätietoja virtuaalisen isännän vaatimuksista .

                                                                                                                                                  helmikuu 24, 2021

                                                                                                                                                  HDS Setup Tool voidaan nyt suorittaa välityspalvelimen takana. Katso lisätietoja kohdasta Määritä ISO HDS-isännille .

                                                                                                                                                  helmikuu 2, 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen.

                                                                                                                                                  tammikuu 11, 2021

                                                                                                                                                  Lisätty tietoja HDS-asetustyökalusta ja välityspalvelimista, joiden avulla voit luoda määrityksen ISO:n HDS-isännille.

                                                                                                                                                  lokakuu 13, 2020

                                                                                                                                                  Päivitetyt latausasennustiedostot.

                                                                                                                                                  lokakuu 8, 2020

                                                                                                                                                  Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä FedRAMP-ympäristöjen komennoilla.

                                                                                                                                                  Elokuu 14, 2020

                                                                                                                                                  Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä kirjautumisprosessin muutoksilla.

                                                                                                                                                  Elokuu 5, 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvan käyttöönotto lokiviesteissä tapahtuvien muutosten varalta.

                                                                                                                                                  Päivitetyt virtuaalisen isännän vaatimukset isäntien enimmäismäärän poistamiseksi.

                                                                                                                                                  kesäkuu 16, 2020

                                                                                                                                                  Päivitetty Poista solmu ohjauskeskuksen käyttöliittymän muutosten vuoksi.

                                                                                                                                                  kesäkuu 4, 2020

                                                                                                                                                  Päivitetty Luo määrityksen ISO HDS-isännille mahdollisesti määrittämiesi lisäasetusten muutoksia varten.

                                                                                                                                                  Voi 29, 2020

                                                                                                                                                  Päivitetty Luo määrityksen ISO HDS-isännille osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennysten kanssa.

                                                                                                                                                  Voi 5, 2020

                                                                                                                                                  Päivitetyt virtuaalisen isännän vaatimukset ESXi 6.5: n uuden vaatimuksen näyttämiseksi.

                                                                                                                                                  huhtikuu 21, 2020

                                                                                                                                                  Päivitetyt ulkoisten yhteyksien vaatimukset uusien Americas CI -isäntien kanssa.

                                                                                                                                                  huhtikuu 1, 2020

                                                                                                                                                  Päivitetyt ulkoisten yhteyksien vaatimukset , jotka sisältävät tietoja alueellisista CI-isännistä.

                                                                                                                                                  helmikuu 20, 2020Päivitetty Luo määritys-ISO HDS-isännille tiedoilla HDS-asennustyökalun uudesta valinnaisesta Lisäasetukset-näytöstä.
                                                                                                                                                  helmikuu 4, 2020Päivitetyt välityspalvelinvaatimukset.
                                                                                                                                                  joulukuu 16, 2019Selvennetty vaatimusta, jonka mukaan estetyn ulkoisen DNS-selvitystilan on toimittava välityspalvelimen vaatimuksissa .
                                                                                                                                                  marraskuu 19, 2019

                                                                                                                                                  Lisätty tietoja estetystä ulkoisesta DNS-selvitystilasta seuraaviin osioihin:

                                                                                                                                                  marraskuu 8, 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä jälkikäteen.

                                                                                                                                                  Seuraavat osiot päivitettiin vastaavasti:


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  syyskuu 6, 2019

                                                                                                                                                  Lisätty SQL Server Standard tietokantapalvelinvaatimuksiin .

                                                                                                                                                  elokuu 29, 2019Lisätty Määritä kalmarien välityspalvelimet hybriditietoturvaa varten -liite, jossa on ohjeita Kalmari-välityspalvelinten määrittämiseen ohittamaan verkkopistokeliikenne asianmukaisen toiminnan varmistamiseksi.
                                                                                                                                                  elokuu 20, 2019

                                                                                                                                                  Lisätty ja päivitetty osioita, jotka kattavat välityspalvelimen tuen hybriditietoturvasolmujen viestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain aiemmin luodun käyttöönoton välityspalvelimen tukisisältöä, tutustu Välityspalvelimen tuki hybriditietoturvaan ja Webex Video Mesh -ohjeartikkeliin.

                                                                                                                                                  kesäkuu 13, 2019Päivitetty kokeiluversiosta tuotantoon -tehtävänkulku ja muistutus synkronoida HdsTrialGroup Ryhmittele objekti ennen kokeiluversion aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  maaliskuu 6, 2019
                                                                                                                                                  helmikuu 28, 2019
                                                                                                                                                  • Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrä, joka tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 gigatavusta 20 gigatavuun, vastaamaan OVA:n luoman levyn kokoa.

                                                                                                                                                  helmikuu 26, 2019

                                                                                                                                                  tammikuu 24, 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. Hybrid Data Securityssä käytettävät JDBC-ohjaimet tukevat SQL Server Always On (Always On Failover Clusters ja Always on Availability Groups) -toimintoa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain uusille yhdistelmätietoturvan käyttöönotoille. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  marraskuu 5, 2018
                                                                                                                                                  lokakuu 19, 2018
                                                                                                                                                  • Jaa palomuurin yhteystiedot solmuvaatimuksiin ja ISO-määrityskoneen vaatimuksiin kohdassa Täytä hybriditietoturvanedellytykset.

                                                                                                                                                  heinäkuu 31, 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Terminologiaa muutettu vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt hybriditietoturva.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  huhtikuu 11, 2018
                                                                                                                                                  helmikuu 22, 2018
                                                                                                                                                  helmikuu 15, 2018
                                                                                                                                                  tammikuu 18, 2018

                                                                                                                                                  marraskuu 2, 2017

                                                                                                                                                  • Parannettu HdsTrialGroupin hakemistosynkronointia.

                                                                                                                                                  • Korjattu ohjeet ISO-määritystiedoston lataamiseksi VM-solmuihin asentamista varten.

                                                                                                                                                  elokuu 18, 2017

                                                                                                                                                  Ensimmäinen julkaisu

                                                                                                                                                  Aloita hybridi-tietoturva

                                                                                                                                                  Hybriditietoturvan yleiskatsaus

                                                                                                                                                  Ensimmäisestä päivästä lähtien tietoturva on ollut ensisijainen painopiste Webex-sovelluksen suunnittelussa. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistavat Webex App -asiakkaat, jotka ovat vuorovaikutuksessa avaintenhallintapalvelun (KMS) kanssa. KMS on vastuussa salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

                                                                                                                                                  Oletuksena kaikki Webex App -asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu KMS-pilveen Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksesi datakeskukseen, joten kenelläkään muulla kuin sinulla ei ole salatun sisällön avaimia.

                                                                                                                                                  Security Realm -arkkitehtuuri

                                                                                                                                                  Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiin maailmoihin tai luottamusalueisiin, kuten alla on kuvattu.

                                                                                                                                                  Erillisyyden alueet (ilman hybriditietoturvaa)

                                                                                                                                                  Hybriditietoturvan ymmärtämiseksi tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan yhdistää suoraan henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseensa, on loogisesti ja fyysisesti erillään palvelinkeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja joka on todennettu identiteettipalvelun kanssa. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet suoritetaan:

                                                                                                                                                  1. Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH: tä, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaasta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön tulevien hakujen helpottamiseksi.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuuden tarkistamista varten.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennusalueelle.

                                                                                                                                                  Kun otat yhdistelmäsuojauksen käyttöön, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen palvelinkeskukseen. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetin ja sisällön tallennus) pysyvät Ciscon alueilla.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta yhteistyöhön muiden organisaatioiden ulkoisten osallistujien kanssa. Kun joku käyttäjistä pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun toinen organisaatio kuitenkin omistaa tilan avaimen, KMS reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta avaimen saamiseksi asianmukaiselta KMS:ltä ja palauttaa avaimen sitten alkuperäisen kanavan käyttäjälle.

                                                                                                                                                  Organisaatiossa A suoritettava KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin x.509 PKI-varmenteiden avulla. Katso kohdasta Ympäristön valmisteleminen lisätietoja x.509-varmenteen luomisesta käytettäväksi hybriditietoturvan käyttöönotossa.

                                                                                                                                                  Hybriditietoturvan käyttöönoton odotukset

                                                                                                                                                  Hybrid Data Securityn käyttöönotto edellyttää asiakkaiden merkittävää sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

                                                                                                                                                  Jotta voit ottaa yhdistelmätietoturvan käyttöön, sinun on annettava seuraavat tiedot:

                                                                                                                                                  Yhdistelmätietoturvaa varten luomasi ISO-konfiguraation tai toimittamasi tietokannan täydellinen menettäminen johtaa avainten menettämiseen. Avaimen menetys estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex-sovelluksessa. Jos näin tapahtuu, voit luoda uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta et menettäisi pääsyä tietoihin, sinun on:

                                                                                                                                                  • Hallitse tietokannan ja määrityksen ISO: n varmuuskopiointia ja palautusta.

                                                                                                                                                  • Valmistaudu suorittamaan nopea katastrofipalautus, jos tapahtuu katastrofi, kuten tietokantalevyvika tai datakeskuksen katastrofi.


                                                                                                                                                   

                                                                                                                                                  Ei ole mekanismia, jolla avaimet voidaan siirtää takaisin pilveen HDS-käyttöönoton jälkeen.

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tässä asiakirjassa käsitellään hybriditietoturvan käyttöönoton määrittämistä ja hallintaa:

                                                                                                                                                  • Määritä hybriditietoturva– Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja hybriditietoturvaohjelmiston asentaminen, käyttöönoton testaaminen osalla käyttäjistä kokeilutilassa ja siirtyminen tuotantoon, kun testaus on valmis. Tämä muuntaa koko organisaation käyttämään hybriditietoturvaklusteria suojaustoimintoihin.

                                                                                                                                                    Asennus-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti seuraavissa kolmessa luvussa.

                                                                                                                                                  • Ylläpidä hybriditietoturvankäyttöönottoa – Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. IT-osastosi voi tarjota ensimmäisen tason tukea tähän käyttöönottoon ja käyttää Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Ohjauskeskuksessa.

                                                                                                                                                  • Tietoja yleisistä hälytyksistä, vianmääritysvaiheista ja tunnetuista ongelmista– Jos kohtaat ongelmia yhdistelmätietoturvan käyttöönotossa tai käytössä, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

                                                                                                                                                  Hybridi tietoturvan käyttöönottomalli

                                                                                                                                                  Yrityksen datakeskuksessa hybriditietoturva otetaan käyttöön yhtenä solmuklusterina erillisissä virtuaali-isännissä. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkopistokkeiden ja suojatun HTTP: n kautta.

                                                                                                                                                  Asennuksen aikana toimitamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteen toimittamiisi virtuaalikoneisiin. HDS Setup Tool -työkalun avulla voit luoda mukautetun klusterimäärityksen ISO-tiedoston, jonka liität kuhunkin solmuun. Hybrid Data Security -klusteri käyttää antamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Voit määrittää Syslogd- ja tietokantayhteyden tiedot HDS Setup Tool -työkalussa.)

                                                                                                                                                  Hybridi tietoturvan käyttöönottomalli

                                                                                                                                                  Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja sinulla voi olla enintään viisi. Useat solmut varmistavat, että palvelu ei keskeydy solmun ohjelmistopäivityksen tai muun ylläpitotoiminnan aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietosäilöä ja kirjaavat toimintaa samaan järjestelmälokipalvelimeen. Solmut itse ovat tilattomia ja käsittelevät avainpyyntöjä round-robin-tyyliin pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmut aktivoituvat, kun rekisteröit ne Ohjauskeskuksessa. Jos haluat poistaa yksittäisen solmun käytöstä, voit poistaa sen rekisteröinnin ja rekisteröidä sen myöhemmin tarvittaessa uudelleen.

                                                                                                                                                  Tuemme vain yhtä klusteria organisaatiota kohden.

                                                                                                                                                  Hybridi tietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt yhdistelmätietoturvakäyttöönoton, kokeilet sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista hybriditietoturvatoimialuetta salausavaimiin ja muihin suojausalueen palveluihin. Muut käyttäjät jatkavat pilven tietoturva-alueen käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät "Tätä viestiä ei voi purkaa" Webex-sovelluksessa.

                                                                                                                                                  Jos olet vakuuttunut siitä, että käyttöönotto toimii hyvin kokeilukäyttäjille, ja olet valmis laajentamaan yhdistelmätietoturvan koskemaan kaikkia käyttäjiä, siirrä käyttöönotto tuotantoon. Pilottikäyttäjillä on edelleen käytössään kokeilujakson aikana käytössä olleet avaimet. Et kuitenkaan voi siirtyä tuotantotilan ja alkuperäisen kokeiluversion välillä. Jos sinun on poistettava palvelun aktivointi esimerkiksi järjestelmäpalautuksen suorittamiseksi, sinun on uudelleenaktivoinnin yhteydessä aloitettava uusi kokeiluversio ja määritettävä uuden kokeiluversion pilottikäyttäjäjoukko, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät tietojen käyttöoikeuden tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt klusterin Hybrid Data Security -solmujen tärkeimpien tietosäilöjen ja ISO-määritystiedoston varmuuskopioita.

                                                                                                                                                  Valmiustilan tietokeskus järjestelmäpalautusta varten

                                                                                                                                                  Käyttöönoton aikana määrität suojatun valmiustilassa olevan palvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit epäonnistua manuaalisesti valmiustilassa olevaan palvelinkeskukseen siirtymisessä.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuaalinen vikasietoisuus valmiustilassa olevaan datakeskukseen

                                                                                                                                                  Aktiivisten ja valmiustilassa olevien palvelinkeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisämäärityksillä, jotka varmistavat, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen valmiustilassa olevan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.


                                                                                                                                                   

                                                                                                                                                  Aktiivisten hybriditietoturvasolmujen on aina oltava samassa palvelinkeskuksessa kuin aktiivinen tietokantapalvelin.

                                                                                                                                                  Valmiustilan datakeskuksen määrittäminen järjestelmäpalautusta varten

                                                                                                                                                  Määritä valmiustilan palvelinkeskuksen ISO-tiedosto seuraavasti:

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Valmiustilassa olevan datakeskuksen tulisi peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -varmuuskopiotietokantaa. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso yleiskatsaus tästä vikasietomallista kohdasta Standby Data Center for Disaster Recovery .)

                                                                                                                                                  • Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Määrityksen ISO:n luominen HDS-isännillemainittuja vaiheita.


                                                                                                                                                   

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset tehdään.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Lisää Lisäasetukset-sivulla alla oleva määritys solmun asettamiseksi passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin.

                                                                                                                                                  5

                                                                                                                                                  Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia.

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO-tiedosto.


                                                                                                                                                   

                                                                                                                                                  Varmista, että Yhdistetty ja Yhdistä virran ollessa päällä on valittuna, jotta päivitetyt kokoonpanomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilassa olevan palvelinkeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista järjestelmälokeista, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä tarkastelemaan viestiä "KMS konfiguroitu passiivisessa tilassa" syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Määrityksen jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode määritys ja tallenna se turvalliseen paikkaan. Tämä ISO-tiedoston kopio ilman passiveMode Konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso yksityiskohtaiset vikasietotoimenpiteet kohdasta Disaster Recovery using Standby Data Center .

                                                                                                                                                  Välityspalvelimen tuki

                                                                                                                                                  Hybriditietoturva tukee eksplisiittisiä, läpinäkyviä ja ei-tarkastavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoosi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää solmujen ympäristön järjestelmänvalvojan käyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

                                                                                                                                                  Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta – Oletusasetus, jos et integroi välityspalvelintaHDS-solmun määritysten Luottamussäilö & Välityspalvelin -määrityksen avulla. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin– Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai välityspalvelimentarkastaminen – Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTP- tai HTTPS-määrityksiä ei tarvitse muuttaa solmuissa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT-osasto käyttää yleensä välityspalvelinten tarkastamista valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteen (jopa HTTPS) salauksen.

                                                                                                                                                  • Eksplisiittinen välityspalvelin– Kun käytät eksplisiittistä välityspalvelinta, kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää eksplisiittisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaisesta solmusta:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN– Osoite, jonka avulla välityspalvelinlaitteeseen voidaan muodostaa yhteys.

                                                                                                                                                    2. Välityspalvelimen portti– Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla– Valitse seuraavista protokollista sen mukaan, mitä välityspalvelin tukee:

                                                                                                                                                      • HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS — Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

                                                                                                                                                    4. Todennustyyppi– Valitse jokin seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään– Lisätodennusta ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                      • Perus– HTTP-käyttäjäagentti antaa käyttäjänimen ja salasanan pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                        Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.

                                                                                                                                                      • Kooste– Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Käytettävissä vain, jos valitset HTTPS:n välityspalvelinprotokollaksi.

                                                                                                                                                        Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybriditietoturvasolmuista ja välityspalvelimista

                                                                                                                                                  Tässä kaaviossa on esimerkkiyhteys hybriditietoturvan, verkon ja välityspalvelimen välillä. Läpinäkyvää tarkastusta ja HTTPS:n eksplisiittistä välityspalvelinta varten sama juurivarmenne on asennettava välityspalvelimeen ja hybriditietoturvasolmuihin.

                                                                                                                                                  Estetty ulkoinen DNS-selvitystila (eksplisiittiset välityspalvelinmääritykset)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmu ei voi tehdä kyselyjä DNS-palvelimille käyttöönotoissa, joissa on eksplisiittisiä välityspalvelinmäärityksiä, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille, se siirtyy automaattisesti estettyyn ulkoiseen DNS-selvitystilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvaa koskevat vaatimukset

                                                                                                                                                  Cisco Webex -lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker-työpöydän vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa edellyttää maksullista Docker Desktop -tilausta. Lisätietoja on Docker-blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksiamme".

                                                                                                                                                  X.509 Sertifikaatin vaatimukset

                                                                                                                                                  Varmenneketjun on täytettävä seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509 Hybriditietoturvan käyttöönoton varmennevaatimukset

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotetun varmenteen myöntäjän (CA) allekirjoittama

                                                                                                                                                  Oletuksena luotamme Mozilla-luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sisältää Common Name (CN) -toimialuenimen, joka yksilöi hybriditietoturvan käyttöönoton

                                                                                                                                                  • Ei ole yleisvarmenne

                                                                                                                                                  CN: n ei tarvitse olla tavoitettavissa tai live-isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi hds.company.com.

                                                                                                                                                  CN:ssä ei saa olla merkkiä * (jokerimerkki).

                                                                                                                                                  CN: tä käytetään hybriditietoturvasolmujen tarkistamiseen Webex App -asiakkaille. Kaikki klusterisi hybriditietoturvasolmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään x.509v3 SAN -kentissä määritettyä toimialuetta.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäyttöönotoissa.

                                                                                                                                                  • Ei-SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS-yhteyksien tarkistamiseen.

                                                                                                                                                  • Alustettu salasanalla suojatuksi PKCS #12 -tiedostoksi

                                                                                                                                                  • Käytä kutsumanimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet ladattavaksi.

                                                                                                                                                  Voit muuttaa varmenteen muotoa muuntimella, kuten OpenSSL:llä.

                                                                                                                                                  Sinun on annettava salasana, kun suoritat HDS Setup Tool -työkalun.

                                                                                                                                                  KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avaimen käyttörajoituksia. Jotkin varmenteiden myöntäjät edellyttävät, että kuhunkin varmenteeseen, kuten palvelintodennukseen, sovelletaan laajennettujen avainten käyttörajoituksia. Voit käyttää palvelimen todennusta tai muita asetuksia.

                                                                                                                                                  Virtuaalisen isännän vaatimukset

                                                                                                                                                  Virtuaalisilla isännillä, jotka määrität klusterisi hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntää (suositus 3) samassa suojatussa datakeskuksessa

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.


                                                                                                                                                     

                                                                                                                                                    Sinun on päivitettävä, jos sinulla on ESXi:n aiempi versio.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt päämuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

                                                                                                                                                  Tietokantapalvelimen vaatimukset


                                                                                                                                                   

                                                                                                                                                  Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantakaavion.

                                                                                                                                                  Tietokantapalvelimelle on kaksi vaihtoehtoa. Kunkin vaatimukset ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypin mukaan

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16, asennettu ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 edellyttää Service Pack 2:ta ja kumulatiivista päivitystä 2 tai uudempaa.

                                                                                                                                                  Vähintään 8 vCPU: ta, 16 Gt: n päämuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään tarvitsematta lisätä tallennustilaa)

                                                                                                                                                  Vähintään 8 vCPU: ta, 16 Gt: n päämuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään tarvitsematta lisätä tallennustilaa)

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ohjainversiot tietokantapalvelimen kanssa tapahtuvaa tiedonsiirtoa varten:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kuljettaja 42.2.5

                                                                                                                                                  SQL Server JDBC -ohjain 4.6

                                                                                                                                                  Tämä ohjainversio tukee SQL Server Always On ( Always On Failover Cluster Instances ja Always On availability groups).

                                                                                                                                                  Lisävaatimukset Microsoft SQL Serverin suorittamalle Windows-todennukselle

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaan, tarvitset ympäristössäsi seuraavat määritykset:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP: n kanssa.

                                                                                                                                                  • HDS-solmuille antamallasi Windows-tilillä on oltava tietokannan luku- ja kirjoitusoikeudet.

                                                                                                                                                  • HDS-solmuille tarjoamiesi DNS-palvelimien on kyettävä ratkaisemaan avainten jakelukeskus (KDC).

                                                                                                                                                  • Voit rekisteröidä HDS-tietokantaesiintymän Microsoft SQL Serverissä palvelun päänimenä (SPN) Active Directoryssa. Katso Palvelun päänimen rekisteröiminen Kerberos-yhteyksille.

                                                                                                                                                    HDS-asennustyökalun, HDS-käynnistysohjelman ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilötietokannan käyttämiseen. He käyttävät ISO-määrityksesi tietoja palvelun päänimen muodostamiseen pyytäessään käyttöoikeutta Kerberos-todennuksella.

                                                                                                                                                  Ulkoisia yhteyksiä koskevat vaatimukset

                                                                                                                                                  Määritä palomuuri sallimaan seuraavat yhteydet HDS-sovelluksille:

                                                                                                                                                  Sovellus

                                                                                                                                                  Protokolla

                                                                                                                                                  Satama

                                                                                                                                                  Suunta sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybridi tietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvaa varten Webex-palveluiden verkkovaatimusten Lisä-URL-osoitteet -taulukossa

                                                                                                                                                  HDS-asennustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid Data Security -solmut toimivat verkkoyhteyden muuntamisessa (NAT) tai palomuurin takana, kunhan NAT tai palomuuri sallii tarvittavat lähtevät yhteydet edellisessä taulukossa mainittuihin toimialuekohteisiin. Hybrid Data Security -solmuihin saapuvissa yhteyksissä porttien ei pitäisi näkyä Internetistä. Datakeskuksessasi asiakkaat tarvitsevat pääsyn TCP-porttien 443 ja 22 hybriditietoturvasolmuihin hallinnollisiin tarkoituksiin.

                                                                                                                                                  Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Common Identity -isännän URL-osoitteet

                                                                                                                                                  Amerikka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelimen vaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmuihisi.

                                                                                                                                                    • Läpinäkyvä välityspalvelin – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen välityspalvelin – Kalmari.


                                                                                                                                                       

                                                                                                                                                      Kalmarien välityspalvelimet, jotka tarkastavat HTTPS-liikenteen, voivat häiritä websocketin (wss:) perustamista Yhteydet. Lisätietoja tämän ongelman kiertämisestä on artikkelissa Kalmarien välityspalvelimien määrittäminen hybriditietoturvaavarten.

                                                                                                                                                  • Tuemme seuraavia todennustyyppien yhdistelmiä eksplisiittisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Tiivistetodennus vain HTTPS:llä

                                                                                                                                                  • Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen päävarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luottamussäilöihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä pakottamaan portin 443 lähtevä TCP-liikenne reitittämään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastelevat välityspalvelimet voivat häiritä verkkovastakeyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkista) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

                                                                                                                                                  Täytä hybriditietoturvan edellytykset

                                                                                                                                                  Tämän tarkistusluettelon avulla voit varmistaa, että olet valmis asentamaan ja määrittämään hybriditietoturvaklusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Cisco Webex Control Hubin Pro Pack on otettu käyttöön Webex-organisaatiossasi, ja hanki sellaisen tilin tunnistetiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakaspäällikköösi, jos tarvitset apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse toimialuenimi HDS-käyttöönottoa varten (esimerkiksi hds.company.com) ja hankkia varmenneketjun, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenneketjun on täytettävä X.509-varmennevaatimusten vaatimukset .

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka määrität klusterisi hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntää (3 suositusta), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät virtuaalisen isännän vaatimustenvaatimukset .

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona tietokantapalvelimen vaatimustenmukaisesti . Tietokantapalvelimen on sijaittava suojatussa datakeskuksessa virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten tallennusta varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantarakenteen.)

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

                                                                                                                                                    • isäntänimi tai IP-osoite (isäntä) ja portti

                                                                                                                                                    • tietokannan nimi (DBNAME) avainten tallennusta varten

                                                                                                                                                    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avaintallennustietokantaan

                                                                                                                                                  5

                                                                                                                                                  Jos haluat palauttaa järjestelmäpalautuksen nopeasti, määritä varmuuskopiointiympäristö toiseen palvelinkeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokeja klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo suojattu varmuuskopiointikäytäntö hybriditietoturvasolmuille, tietokantapalvelimelle ja syslog-isännälle. Vähintään peruuttamattoman tietojen menetyksen estämiseksi sinun on varmuuskopioitava tietokanta ja Hybrid Data Security -solmuille luotu määrityksen ISO-tiedosto.


                                                                                                                                                   

                                                                                                                                                  Koska Hybrid Data Security -solmut tallentavat avaimet, joita käytetään sisällön salauksessa ja salauksen purkamisessa, operatiivisen käyttöönoton ylläpitämättä jättäminen johtaa kyseisen sisällön peruuttamattomaan MENETYKSEEN .

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä ole heti havaittavissa, mutta se ilmenee ajan myötä. Vaikka väliaikaisia katkoksia on mahdotonta estää, ne ovat palautettavissa. Tietokannan tai määrityksen ISO-tiedoston täydellinen menetys (varmuuskopioita ei ole saatavilla) johtaa kuitenkin siihen, että asiakastietoja ei voida palauttaa. Hybrid Data Security -solmujen operaattoreiden odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvan datakeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurimääritykset sallivat yhdistelmätietoturvasolmujen yhdistämisen kohdassa Ulkoiset yhteysvaatimuksetkuvatulla tavalla.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi) verkkoselaimella, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Docker-esiintymän avulla voit ladata ja suorittaa HDS Setup Tool -työkalun, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -käyttöoikeuden. Katso lisätietoja kohdasta Docker Desktop Requirements .

                                                                                                                                                  HDS Setup Tool -työkalun asentaminen ja suorittaminen edellyttää, että paikallisella koneella on kohdassa Ulkoiset yhteysvaatimuksetkuvatut yhteydet.

                                                                                                                                                  10

                                                                                                                                                  Jos integroit välityspalvelimen yhdistelmäsuojaukseen, varmista, että se täyttää välityspalvelimen vaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. Sitä HdsTrialGroup Objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeiluversion organisaatiollesi. Jos haluat synkronoida ryhmäobjektin, valitse se Hakemistoyhdistimen Määritys- > Objektinvalinta-valikosta . (Katso tarkemmat ohjeet Cisco Directory Connectorin käyttöönotto-opas.)


                                                                                                                                                   

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton käytöstä pysyvästi, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys ilmenee heti, kun käyttäjien sovellukset päivittävät välimuistissa olevat kopionsa sisällöstä.

                                                                                                                                                  Hybriditietoturvaklusterin perustaminen

                                                                                                                                                  Hybriditietoturvan käyttöönoton tehtävänkulku

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliseen koneeseesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo määritys-ISO HDS-isännille

                                                                                                                                                  HDS Setup Tool -työkalun avulla voit luoda ISO-määritystiedoston Hybrid Data Security -solmuille.

                                                                                                                                                  3

                                                                                                                                                  HDS-isännän OVA:n asentaminen

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Hybrid Data Security VM:n määrittäminen

                                                                                                                                                  Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS-kokoonpano ISO

                                                                                                                                                  Määritä virtuaalikone ISO-määritystiedostosta, jonka loit HDS Setup Tool -työkalulla.

                                                                                                                                                  6

                                                                                                                                                  Määritä HDS-solmu välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelimen määritystä, määritä solmussa käytettävän välityspalvelimen tyyppi ja lisää välityspalvelimen varmenne luottamussäilöön tarvittaessa.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi virtuaalikone Cisco Webex -pilveen hybriditietoturvasolmuna.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin määritys.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeiluversio ja siirry tuotantoon (seuraava luku)

                                                                                                                                                  Ennen kokeilujakson aloittamista solmut luovat hälytyksen, joka ilmaisee, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston tietokoneeseesi (et palvelimiin, jotka määrität Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessin aikana.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään ja https://admin.webex.comvalitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybrid Data Security -kortti Hybrid Data Security -osasta ja valitse sitten Määritä.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä, että otat hybriditietoturvan käyttöön organisaatiossasi. Löydät tilinumeron klikkaamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.


                                                                                                                                                   

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa Asetukset-sivun Ohje-osiosta . Avaa sivu valitsemalla Hybrid Data Security -kortissa Muokkaa asetuksia . Napsauta sitten Lataa hybriditietoturvaohjelmisto Ohje-osiossa .


                                                                                                                                                   

                                                                                                                                                  Ohjelmistopaketin vanhemmat versiot eivät ole yhteensopivia uusimpien hybriditietoturvapäivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei , jos haluat ilmaista, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto tietokoneessa olevaan sijaintiin.
                                                                                                                                                  4

                                                                                                                                                  Voit myös valita Avaa käyttöönotto-opas ja tarkistaa, onko oppaasta saatavilla uudempaa versiota.

                                                                                                                                                  Luo määritys-ISO HDS-isännille

                                                                                                                                                  Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Tämän jälkeen määrität hybriditietoturvaisännän ISO-tunnisteen avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säilönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Määritysprosessi edellyttää organisaatiosi Control Hub -tilin tunnistetietoja, joilla on täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS-asennustyökalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot esiin Docker-säilön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Luomasi määrityksen ISO-tiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston uusimman kopion aina, kun teet seuraavanlaisia kokoonpanomuutoksia:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Varmenteiden päivitykset

                                                                                                                                                    • Valtuutuskäytännön muutokset

                                                                                                                                                  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita laitteen komentoriville ympäristöösi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tämä vaihe puhdistaa aiempien HDS-asennustyökalujen kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit ohittaa.

                                                                                                                                                  2

                                                                                                                                                  Kirjaudu sisään Dockerin kuvarekisteriin kirjoittamalla seuraavat tiedot:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä tiiviste:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun pull on valmis, kirjoita ympäristöösi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä, joissa ei ole välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa ei ole välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun säilö on käynnissä, näet tekstin "Pikapalvelimen kuuntelu portissa 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Asennustyökalu ei tue yhteyden muodostamista localhostiin http://localhost:8080kautta . Käytä http://127.0.0.1:8080 yhteyden muodostamiseen localhostiin.

                                                                                                                                                  Käytä verkkoselainta siirtyäksesi paikalliseen isäntään, http://127.0.0.1:8080 ja kirjoita asiakkaan järjestelmänvalvojan käyttäjänimi Control Hubiin kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hubin asiakkaan järjestelmänvalvojan kirjautumistiedot ja salli sitten yhdistelmätietoturvan edellyttämien palveluiden käyttö valitsemalla Kirjaudu sisään .

                                                                                                                                                  8

                                                                                                                                                  Valitse Asennustyökalun yleiskatsaus -sivulla Aloita.

                                                                                                                                                  9

                                                                                                                                                  ISO-tuonti-sivulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei—Jos olet luomassa ensimmäistä HDS-solmua, sinulla ei ole ladattavaa ISO-tiedostoa.
                                                                                                                                                  • Kyllä— Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaamisesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-varmenteesi täyttää X.509-varmennevaatimusten vaatimukset.

                                                                                                                                                  • Jos et ole koskaan aiemmin ladannut varmennetta, lataa X.509-varmenne, syötä salasana ja valitse Jatka.
                                                                                                                                                  • Jos varmenne on OK, klikkaa Jatka.
                                                                                                                                                  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei kohdassa Jatka HDS-varmenneketjun ja aiemman ISO-avaimen yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja valitse Jatka.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokannan osoite ja tili, jotta voit käyttää avaintietosäilöäsi:

                                                                                                                                                  1. Valitse tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, näyttöön tulee Todennustyyppi-kenttä.

                                                                                                                                                  2. (Vain Microsoft SQL Server ) Valitse todennustyyppi:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi-kenttään .

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAINKäyttäjänimi-kentässä .

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi selvittää isäntänimeä DNS:n avulla.

                                                                                                                                                    Jos käytät Windows-todennusta, sinun on annettava täydellinen toimialuenimi muodossa dbhost.example.org:1433

                                                                                                                                                  4. Kirjoita tietokannan nimi.

                                                                                                                                                  5. Anna sen käyttäjän käyttäjätunnus ja salasana , jolla on kaikki oikeudet avaintallennustietokantaan.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokannan yhteystila:

                                                                                                                                                  Moodi

                                                                                                                                                  Kuvaus

                                                                                                                                                  Suosi TLS:ää (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS:ää yhteyden muodostamiseen tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät salattua yhteyttä.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  Vaadi TLS ja vahvista varmenteen allekirjoittaja


                                                                                                                                                   

                                                                                                                                                  Tämä tila ei sovellu SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteenmyöntäjään . Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Käytä avattavan valikon alla olevaa Tietokannan päävarmenne -ohjausobjektia ladataksesi tämän vaihtoehdon päävarmenteen.

                                                                                                                                                  TLS:n vaatiminen ja varmenteen allekirjoittajan ja isäntänimen vahvistaminen

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteenmyöntäjään . Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut varmistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa isäntänimeä Tietokannan isäntä ja portti -kentässä. Nimien on vastattava tarkasti, tai solmu katkaisee yhteyden.

                                                                                                                                                  Käytä avattavan valikon alla olevaa Tietokannan päävarmenne -ohjausobjektia ladataksesi tämän vaihtoehdon päävarmenteen.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja valitset Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, ohitetaanko virhe ja jatketaanko asennusta. (Yhteyserojen vuoksi HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi testaamaan sitä onnistuneesti.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Järjestelmälokit-sivulla Syslogd-palvelin:

                                                                                                                                                  1. Kirjoita syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelinta ei voi DNS-ratkaista HDS-klusterin solmuista, käytä URL-osoitteessa olevaa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
                                                                                                                                                  2. Jos määrität palvelimesi käyttämään TLS-salausta, tarkista Onko järjestelmälokipalvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että kirjoitat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. Valitse avattavasta Valitse syslog-tietueen lopetus -valikosta ISO-tiedostolle sopiva asetus: Valitse tai Newline käytetään Graylogissa ja Rsyslog TCP:ssä

                                                                                                                                                    • Null-tavu -- \x00

                                                                                                                                                    • Newline -- \n– Valitse tämä vaihtoehto Graylogille ja Rsyslog TCP:lle.

                                                                                                                                                  4. Klikkaa Jatka.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokannan yhteysparametrien oletusarvoa Lisäasetuksissa . Yleensä tämä parametri on ainoa, jota haluat ehkä muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Valitse Jatka Palauta palvelutilien salasana -näytössä.

                                                                                                                                                  Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhentumassa tai haluat nollata ne mitätöidäksesi aiemmat ISO-tiedostot.

                                                                                                                                                  16

                                                                                                                                                  Valitse Lataa ISO-tiedosto. Tallenna tiedosto helposti löydettävään sijaintiin.

                                                                                                                                                  17

                                                                                                                                                  Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin.

                                                                                                                                                  18

                                                                                                                                                  Sammuta asennustyökalu kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi määrityksen ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos kadotat kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.


                                                                                                                                                   

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  HDS-isännän OVA:n asentaminen

                                                                                                                                                  Tämän toiminnon avulla voit luoda virtuaalikoneen OVA-tiedostosta.
                                                                                                                                                  1

                                                                                                                                                  Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliseen isäntään.

                                                                                                                                                  2

                                                                                                                                                  Valitse File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja valitse sitten Seuraava.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita Valitse nimi ja kansio -sivulla solmun Näennäiskoneen nimi (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikonesolmun käyttöönotto voi sijaita, ja valitse sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja valitse sitten Seuraava.

                                                                                                                                                  Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja valitse sitten Seuraava.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikonfiguraatio Kokoonpano-sivulla , valitse 4 suoritin ja valitse sitten Seuraava.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletuslevymuodon ja VM-tallennuskäytännön.

                                                                                                                                                  9

                                                                                                                                                  Valitse Valitse verkot -sivulla merkintäluettelosta verkkovaihtoehto, joka tarjoaa halutun yhteyden virtuaalikoneeseen.

                                                                                                                                                  10

                                                                                                                                                  Määritä Mukauta mallia -sivulla seuraavat verkkoasetukset:

                                                                                                                                                  • Isäntänimi– Anna solmulle täydellinen toimialuenimi (isäntänimi ja toimialue) tai yhden sanan isäntänimi.

                                                                                                                                                     
                                                                                                                                                    • Sinun ei tarvitse määrittää toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Varmista onnistunut rekisteröinti pilveen käyttämällä solmulle määrittämässäsi täydellisessä toimialuenimessä tai isäntänimessä vain pieniä kirjaimia. Isoja kirjaimia ei tueta tällä hetkellä.

                                                                                                                                                    • Täydellisen toimialuenimen kokonaispituus saa olla enintään 64 merkkiä.

                                                                                                                                                  • IP-osoite— Anna solmun sisäisen rajapinnan IP-osoite.

                                                                                                                                                     

                                                                                                                                                    Solmulla tulisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Peite— Kirjoita aliverkon peitteen osoite pistedesimaalimuodossa. Esimerkiksi 255.255.255.0.
                                                                                                                                                  • Yhdyskäytävä– Anna yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii tukiasemana toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet– Anna pilkuilla erotettu luettelo DNS-palvelimista, jotka käsittelevät toimialuenimien kääntämistä numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
                                                                                                                                                  • NTP-palvelimet– Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. NTP-oletuspalvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.
                                                                                                                                                  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLAN-verkossa, jotta kaikki klusterin solmut ovat tavoitettavissa verkkosi asiakkailta hallinnollisiin tarkoituksiin.

                                                                                                                                                  Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmukonsolista noudattamalla kohdan Hybrid Data Security VM määrittäminen ohjeita.


                                                                                                                                                   

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmua VM ja valitse sitten Power > Power On.

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM Hostiin. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianmääritysvihjeitä

                                                                                                                                                  Saatat kohdata muutaman minuutin viiveen, ennen kuin solmusäiliöt tulevat esiin. Ensimmäisen käynnistyksen aikana konsoliin tulee näkyviin siltapalomuuriviesti, jonka aikana kirjautuminen ei onnistu.

                                                                                                                                                  Hybrid Data Security VM:n määrittäminen

                                                                                                                                                  Tämän toiminnon avulla voit kirjautua Hybrid Data Security node VM -konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security node VM ja valitse Konsoli-välilehti .

                                                                                                                                                  VM käynnistyy ja kirjautumiskehote tulee näkyviin. Jos kirjautumiskehote ei tule näkyviin, paina Enter-näppäintä .
                                                                                                                                                  2

                                                                                                                                                  Kirjaudu sisään ja muuta tunnistetietoja seuraavalla oletuskäyttäjätunnuksella ja salasanalla:

                                                                                                                                                  1. Sisäänkirjautuminen: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut sisään virtuaalikoneeseesi ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset kohdassa HDS Host OVAnasentaminen, ohita näiden ohjeiden loppuosa. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa -vaihtoehto.

                                                                                                                                                  4

                                                                                                                                                  Määritä staattinen määritys IP-osoitteen, maskin, yhdyskäytävän ja DNS-tietojen avulla. Solmulla tulisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi.

                                                                                                                                                  Sinun ei tarvitse määrittää toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkokokoonpano ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS-kokoonpano ISO

                                                                                                                                                  Tämän toiminnon avulla voit määrittää näennäiskoneen HDS Setup Tool -työkalulla luomastasi ISO-tiedostosta.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain tiedonsaantitarpeen perusteella, jotta hybriditietoturvan virtuaalikoneet ja järjestelmänvalvojat, joiden on ehkä tehtävä muutoksia, voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietosäilöä.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.

                                                                                                                                                  2. Valitse Määritykset-välilehden Laitteisto-luettelosta Tallennustila.

                                                                                                                                                  3. Napsauta Tietosäilöt-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja valitse Selaa tietosäilöä.

                                                                                                                                                  4. Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.

                                                                                                                                                  5. Siirry sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja valitse Avaa .

                                                                                                                                                  6. Napsauta Kyllä , jos haluat hyväksyä lataustoiminnon varoituksen, ja sulje tietosäilön valintaikkuna.

                                                                                                                                                  2

                                                                                                                                                  Ota ISO-tiedosto käyttöön:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia.

                                                                                                                                                  2. Napsauta OK hyväksyäksesi rajoitettujen muokkausasetusten varoituksen.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietosäilön ISO-tiedostosta ja selaa sijaintiin, johon latasit määrityksen ISO-tiedoston.

                                                                                                                                                  4. Tarkista Connected (Yhdistetty) ja Connect ( Yhdistä ), kun virta kytketään päälle.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos IT-käytäntösi sitä edellyttää, voit halutessasi poistaa ISO-tiedoston asennuksen, kun kaikki solmut ovat havainneet kokoonpanomuutokset. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen.

                                                                                                                                                  Määritä HDS-solmu välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelinta, määritä näiden ohjeiden avulla välityspalvelimen tyyppi, jonka haluat integroida yhdistelmätietoturvaan. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Kirjoita HDS-solmun määritys-URL-osoite https://[HDS Node IP or FQDN]/setup Anna selaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja valitse sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry kohtaan Luottamussäilö & Välityspalvelinja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta – Oletusasetus ennen välityspalvelimenintegrointia. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä tarkastamaton välityspalvelin– Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvän tarkastuksen välityspalvelin– Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvitse tehdä HTTPS-määrityksiä, mutta HDS-solmut tarvitsevat päävarmenteen, jotta ne luottavat välityspalvelimeen. IT-osasto käyttää yleensä välityspalvelinten tarkastamista valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteen (jopa HTTPS) salauksen.
                                                                                                                                                  • Eksplisiittinen välityspalvelin– Kun käytät eksplisiittistä välityspalvelinta, kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta on käytettävä, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN– Osoite, jonka avulla välityspalvelinlaitteeseen voidaan muodostaa yhteys.

                                                                                                                                                    2. Välityspalvelimen portti– Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

                                                                                                                                                    3. Välityspalvelinprotokolla– Valitse http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle, ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelin tukee.

                                                                                                                                                    4. Todennustyyppi– Valitse jokin seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään– Lisätodennusta ei tarvita.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Perus– HTTP-käyttäjäagentti antaa käyttäjänimen ja salasanan pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                      • Kooste– Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.

                                                                                                                                                        Käytettävissä vain HTTPS-välityspalvelimissa.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                  Noudata seuraavia ohjeita, jos haluat läpinäkyvän tarkastavan välityspalvelimen, eksplisiittisen HTTP-välityspalvelimen perustodennuksella tai eksplisiittisen HTTPS-välityspalvelimen.

                                                                                                                                                  3

                                                                                                                                                  Valitse Lataa päävarmenne tai loppuentiteettivarmenneja siirry sitten valitun välityspalvelimen päävarmenteen kohtaan.

                                                                                                                                                  Varmenne ladataan, mutta sitä ei ole vielä asennettu, koska solmu on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolennuolta tai valitse Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Valitse Tarkista välityspalvelinyhteys , jos haluat testata solmun ja välityspalvelimen välisen verkkoyhteyden.

                                                                                                                                                  Jos yhteystesti epäonnistuu, näet virhesanoman, josta ilmenee syy ja tapa, jolla voit korjata ongelman.

                                                                                                                                                  Jos näyttöön tulee sanoma, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinmäärityksissä. Voit jatkaa asennusta, ja solmu toimii estetyssä ulkoisessa DNS-selvitystilassa. Jos epäilet, että tämä on virhe, suorita nämä vaiheet ja katso sitten Estetyn ulkoisen DNS-selvitystilanpoistaminen käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos eksplisiittisen välityspalvelimen asetuksena on vain https, ota kytkin käyttöön Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimenkautta. Tämä asetus kestää 15 sekuntia, ennen kuin se tulee voimaan.

                                                                                                                                                  6

                                                                                                                                                  Valitse Asenna kaikki varmenteet luottamussäilöön (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkistavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy eksplisiittiselle HTTP-välityspalvelimelle), lue kehote ja valitse sitten Asenna , jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutamassa minuutissa.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus-sivu tarkistaaksesi yhteystarkistukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com alitoimialueen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvitoimialueet on estetty välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tämä tehtävä ottaa yleisen solmun, jonka loit Määritä hybridi tietoturva VM: ssä, rekisteröi solmun Webex-pilven kanssa ja muuttaa sen hybriditietoturvasolmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, jotka on otettu käyttöön redundanssin aikaansaamiseksi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että kaikki selaimen ponnahdusikkunoiden esto-ohjelmat on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemman reunan valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybrid Services -osiosta Hybrid Data Security ja napsauta Set up.

                                                                                                                                                  Rekisterin hybriditietoturvasolmu -sivu avautuu.
                                                                                                                                                  4

                                                                                                                                                  Valitse Kyllä , jos haluat ilmaista, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai täydellinen toimialuenimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                  Tämän IP-osoitteen tai täydellisen toimialuenimen on vastattava IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

                                                                                                                                                  Näyttöön tulee viesti, joka osoittaa, että voit rekisteröidä solmusi Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Klikkaa Siirry solmuun.

                                                                                                                                                  8

                                                                                                                                                  Klikkaa varoitusviestissä Jatka .

                                                                                                                                                  Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli pääsy hybriditietoturvasolmuun -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmuasi.
                                                                                                                                                  9

                                                                                                                                                  Valitse Salli hybriditietoturvasolmun käyttö -valintaruutu ja valitse sitten Jatka.

                                                                                                                                                  Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Hybrid Data Security (Yhdistelmäsuojaus) -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Voit lisätä klusteriin lisää solmuja luomalla lisää virtuaalikoneita, liittämällä saman määrityksen ISO-tiedoston ja rekisteröimällä sitten solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                   

                                                                                                                                                  Tällä hetkellä Complete the Prerequisites for Hybrid Data Security -kohdassa luomasi varmuuskopiovirtuaalikoneet ovat valmiustilan isäntiä, joita käytetään vain järjestelmäpalautuksen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on kohdassa Järjestelmäpalautus valmiustilassa olevan palvelinkeskuksenavulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että kaikki selaimen ponnahdusikkunoiden esto-ohjelmat on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla kohdan HDS Host OVA:n asentaminen vaiheet.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden virtuaalikoneen alkuasetukset toistamalla vaiheet kohdassa Hybrid Data Security VM:n määrittäminen.

                                                                                                                                                  3

                                                                                                                                                  Toista uudessa virtuaalikoneessa vaiheet kohdassa HDS-määrityksen ISO-tiedostonlataaminen ja käyttöönotto.

                                                                                                                                                  4

                                                                                                                                                  Jos olet määrittämässä välityspalvelinta käyttöönottoa varten, toista kohdan HDS-solmun määrittäminen välityspalvelimen integrointia varten vaiheet tarpeen mukaan uudelle solmulle.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Valitse kohdassa https://admin.webex.comPalvelut näytön vasemmalla puolella olevasta valikosta.

                                                                                                                                                  2. Etsi Hybrid Services -osiosta Hybrid Data Security -kortti ja valitse Resources.

                                                                                                                                                    Näkyviin tulee Hybrid Data Security Resources (Hybridin tietoturvaresurssit) -sivu.
                                                                                                                                                  3. Klikkaa Lisää resurssi.

                                                                                                                                                  4. Valitse ensimmäisessä kentässä aiemmin luodun klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai täydellinen toimialuenimi (FQDN) ja napsauta Seuraava.

                                                                                                                                                    Näyttöön tulee viesti, joka osoittaa, että voit rekisteröidä solmusi Webex-pilveen.
                                                                                                                                                  6. Klikkaa Siirry solmuun.

                                                                                                                                                    Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli pääsy hybriditietoturvasolmuun -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi solmun käyttöoikeudet.
                                                                                                                                                  7. Valitse Salli hybriditietoturvasolmun käyttö -valintaruutu ja valitse sitten Jatka.

                                                                                                                                                    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kokeilujakson aloittamista solmut luovat hälytyksen, joka ilmaisee, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeiluversio ja siirry tuotantoon (seuraava luku)
                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeiluversiosta tuotantoon -tehtävänkulku

                                                                                                                                                  Kun olet määrittänyt yhdistelmätietoturvaklusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja todentamiseen tuotantoon siirtymistä valmisteltaessa.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää käyttäjien hakemistosynkronointia, sinun on valittava HdsTrialGroup Ryhmittele objekti pilveen synkronointia varten, ennen kuin voit aloittaa kokeiluversion. Katso ohjeet Cisco Directory Connectorin käyttöönotto-oppaasta.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut luovat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Hybriditietoturvan käyttöönoton testaaminen

                                                                                                                                                  Tarkista, että avainpyynnöt välittyvät hybriditietoturvan käyttöönottoon.

                                                                                                                                                  4

                                                                                                                                                  Seuraa hybriditietoturvan kuntoa

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Käyttäjien lisääminen kokeiluversioon tai poistaminen kokeiluversiosta

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi kokeiluversio

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää käyttäjien hakemistosynkronointia, sinun on valittava HdsTrialGroup Ryhmittele objekti pilveen synkronointia varten, ennen kuin voit aloittaa kokeiluversion organisaatiollesi. Katso ohjeet Cisco Directory Connectorin käyttöönotto-oppaasta.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään ja https://admin.webex.comvalitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset).

                                                                                                                                                  3

                                                                                                                                                  Valitse Service Status (Palvelun tila) -osassa Start Trial (Aloita kokeiluversio).

                                                                                                                                                  Palvelun tila muuttuu kokeilutilaksi.
                                                                                                                                                  4

                                                                                                                                                  Valitse Lisää käyttäjiä ja kirjoita yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla yhdistelmätietoturvasolmujen käyttöä salaus- ja indeksointipalveluissa.

                                                                                                                                                  (Jos organisaatiosi käyttää hakemistosynkronointia, hallitse kokeiluryhmää Active Directoryn avulla, HdsTrialGroup.)

                                                                                                                                                  Hybriditietoturvan käyttöönoton testaaminen

                                                                                                                                                  Tämän toiminnon avulla voit testata hybriditietoturvan salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä hybriditietoturvan käyttöönotto.

                                                                                                                                                  • Aktivoi kokeiluversio ja lisää useita kokeiluversion käyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on järjestelmälokin käyttöoikeus ja varmista, että avainpyynnöt välitetään hybriditietoturvan käyttöönottoon.

                                                                                                                                                  1

                                                                                                                                                  Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.


                                                                                                                                                   

                                                                                                                                                  Jos poistat hybriditietoturvan käyttöönoton käytöstä, pilottikäyttäjien luomissa tiloissa oleva sisältö ei ole enää käytettävissä, kun salausavainten välimuistissa olevat kopiot on korvattu.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista järjestelmälokin tulosteesta, että avainpyynnöt välittyvät hybriditietoturvan käyttöönottoon.

                                                                                                                                                  1. Jos haluat tarkistaa, muodostaako käyttäjä ensin suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, pyytääkö käyttäjä olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Voit tarkistaa, pyytääkö käyttäjä uuden KMS-avaimen luomista, suodattamalla kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, pyytääkö käyttäjä uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää merkintä, kuten:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Seuraa hybriditietoturvan kuntoa

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko kaikki hyvin hybriditietoturvan käyttöönotossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tehdään.
                                                                                                                                                  1

                                                                                                                                                  Valitse Ohjauskeskuksessanäytön vasemmalla puolella olevasta valikosta Palvelut .

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybrid Services -osiosta Hybrid Data Security ja klikkaa Settings.

                                                                                                                                                  Hybriditietoturva-asetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osaan vähintään yksi pilkuilla erotettu sähköpostiosoite ja paina Enter-näppäintä .

                                                                                                                                                  Käyttäjien lisääminen kokeiluversioon tai poistaminen kokeiluversiosta

                                                                                                                                                  Kun olet aktivoinut kokeiluversion ja lisännyt kokeiluversion ensimmäiset käyttäjät, voit lisätä tai poistaa kokeiluversion jäseniä milloin tahansa kokeiluversion ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeiluversiosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luontia KMS-pilvestä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; Voit tarkastella ryhmän jäseniä Ohjauskeskuksessa, mutta et voi lisätä tai poistaa heitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset).

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -alueen Kokeilutila-osassa Lisää käyttäjiätai poista käyttäjiä kokeiluversiosta valitsemalla Näytä ja muokkaa .

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeiluversiosta napsauttamalla käyttäjätunnuksen vieressä olevaa X-merkkiä . Napsauta sitten Tallenna.

                                                                                                                                                  Siirry kokeiluversiosta tuotantoon

                                                                                                                                                  Kun olet vakuuttunut siitä, että käyttöönotto toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista yhdistelmätietoturvatoimialuetta salausavaimiin ja muihin suojausalueen palveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelun aktivointia osana järjestelmäpalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset).

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -osassa Siirrä tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon.

                                                                                                                                                  Kokeilujakson päättäminen siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilujakson aikana olla jatkamatta hybriditietoturvan käyttöönottoa, voit poistaa hybriditietoturvan käytöstä, jolloin kokeilu päättyy ja kokeilukäyttäjät siirtyvät takaisin pilven tietoturvapalveluihin. Kokeiluversion käyttäjät menettävät kokeilujakson aikana salattujen tietojen käyttöoikeuden.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset).

                                                                                                                                                  3

                                                                                                                                                  Valitse Poista aktivointi -osiossa Poista aktivointi.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun aktivoinnin ja lopettaa kokeiluversion.

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  HDS:n käyttöönoton hallinta

                                                                                                                                                  Tässä kuvattujen tehtävien avulla voit hallita hybriditietoturvan käyttöönottoa.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikki solmut käyttävät aina samaa ohjelmistoversiota. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen ajoitettua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

                                                                                                                                                  Päivitysaikataulun määrittäminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu Control Hubiin.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Yhdistelmäpalvelut-kohdassa Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Valitse klusteri Hybrid Data Security Resources (Hybridiset tietoturvaresurssit) -sivulla.

                                                                                                                                                  4

                                                                                                                                                  Valitse oikealla olevan Yleiskatsaus-paneelin Klusteriasetukset-kohdassa klusterin nimi.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näkyy seuraava käytettävissä oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavaan päivään valitsemalla Lykkää.

                                                                                                                                                  Solmun määritysten muuttaminen

                                                                                                                                                  Joskus saatat joutua muuttamaan hybriditietoturvasolmun määrityksiä esimerkiksi seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä toimialuetta.

                                                                                                                                                  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.


                                                                                                                                                     

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita hybriditietoturvan uusi käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, voit ottaa ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhentumassa, saat Webex-tiimiltä ilmoituksen tietokonetilisi salasanan vaihtamisesta. (Sähköpostiviesti sisältää tekstin "Käytä konetilin ohjelmointirajapintaa salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa sinulle kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus– Sekä vanhat että uudet salasanat toimivat jopa 10 päivän ajan. Käytä tätä ajanjaksoa korvaamaan solmujen ISO-tiedosto vähitellen.

                                                                                                                                                  • Kova nollaus– Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välittömän kovan nollauksen ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

                                                                                                                                                  Tämän toiminnon avulla voit luoda uuden määrityksen ISO-tiedoston ja soveltaa sitä klusteriisi.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säilönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Määritysprosessi edellyttää organisaatiosi Control Hub -tilin tunnistetietoja, joilla on täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelinasetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin 1.e:ssä . Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Tarvitset kopion nykyisestä määrityksen ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-arvoa, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, varmenteiden päivitykset tai valtuutuskäytännön muutokset.

                                                                                                                                                  1

                                                                                                                                                  Käytä Dockeria paikallisessa tietokoneessa ja suorita HDS Setup Tool.

                                                                                                                                                  1. Kirjoita laitteen komentoriville ympäristöösi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tämä vaihe puhdistaa aiempien HDS-asennustyökalujen kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit ohittaa.

                                                                                                                                                  2. Kirjaudu sisään Dockerin kuvarekisteriin kirjoittamalla seuraavat tiedot:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä tiiviste:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa kuva ympäristöösi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Varmista, että käytät uusinta asennustyökalua tätä menettelyä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun pull on valmis, kirjoita ympäristöösi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä, joissa ei ole välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa ei ole välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun säilö on käynnissä, näet tekstin "Pikapalvelimen kuuntelu portissa 8080".

                                                                                                                                                  6. Käytä selainta yhteyden muodostamiseen paikalliseen isäntään, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Asennustyökalu ei tue yhteyden muodostamista localhostiin http://localhost:8080kautta . Käytä http://127.0.0.1:8080 yhteyden muodostamiseen localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistiedot ja jatka valitsemalla Hyväksy .

                                                                                                                                                  8. Tuo nykyinen kokoonpanon ISO-tiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun noudattamalla kehotteita ja lataa päivitetty tiedosto.

                                                                                                                                                    Sammuta asennustyökalu kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toiseen palvelinkeskukseen.

                                                                                                                                                  2

                                                                                                                                                  Jos sinulla on vain yksi HDS-solmu käynnissä, luo uusi Hybrid Data Security node VM ja rekisteröi se käyttämällä uutta määritys-ISO-tiedostoa. Katso tarkemmat ohjeet kohdasta Lisää solmujen luominen ja rekisteröiminen.

                                                                                                                                                  1. Asenna HDS-isännän OVA.

                                                                                                                                                  2. Määritä HDS VM.

                                                                                                                                                  3. Ota päivitetty määritystiedosto käyttöön.

                                                                                                                                                  4. Rekisteröi uusi solmu Ohjauskeskuksessa.

                                                                                                                                                  3

                                                                                                                                                  Jos kyseessä on olemassa oleva HDS-solmu, joka suorittaa vanhempaa määritystiedostoa, ota ISO-tiedosto käyttöön. Suorita seuraavat toimenpiteet kullekin solmulle vuorotellen päivittämällä kukin solmu ennen seuraavan solmun sammuttamista:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD Drive 1, valitse liittämisvaihtoehto ISO-tiedostosta ja selaa sijaintiin, johon latasit uuden määrityksen ISO-tiedoston.

                                                                                                                                                  4. Tarkista Yhdistä virran kytkemisenyhteydessä.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi määrityksen jokaisessa jäljellä olevassa solmussa, joka suorittaa vanhaa kokoonpanoa.

                                                                                                                                                  Poista estetty ulkoinen DNS-selvitystila käytöstä

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty selvittämään julkisia DNS-nimiä, solmu siirtyy automaattisesti estettyyn ulkoiseen DNS-selvitystilaan.

                                                                                                                                                  Jos solmut pystyvät selvittämään julkisia DNS-nimiä sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelimen yhteystestin uudelleen kullekin solmulle.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi pystyvät selvittämään julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa selaimessa Hybrid Data Security -solmuliittymä (esimerkiksi IP-osoite/määritys, https://192.0.2.0/setup), kirjoita solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja valitse sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry Yleiskatsaukseen (oletussivu).

                                                                                                                                                  Kun tämä asetus on käytössä, Blocked External DNS Resolution (Estetty ulkoinen DNS-selvitys) -asetuksena on Yes ( Kyllä).

                                                                                                                                                  3

                                                                                                                                                  Siirry Luottamussäilö ja välityspalvelin -sivulle.

                                                                                                                                                  4

                                                                                                                                                  Valitse Tarkista välityspalvelimen yhteys.

                                                                                                                                                  Jos näyttöön tulee sanoma, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut Yleiskatsaus-sivulle , Estetty ulkoinen DNS-selvitys -asetuksena pitäisi olla Ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelimen yhteystesti jokaiselle hybriditietoturvaklusterin solmulle.

                                                                                                                                                  Solmun poistaminen

                                                                                                                                                  Tämän toiminnon avulla voit poistaa hybriditietoturvasolmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietojasi ei enää käytetä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu tietokoneesi VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntään ja sammuta virtuaalikone.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Valitse Hybrid Data Security -kortissa Näytä kaikki , jolloin Hybrid Data Security Resources -sivu tulee näkyviin.

                                                                                                                                                  3. Valitse klusteri näyttääksesi sen Yleiskatsaus-paneelin.

                                                                                                                                                  4. Valitse Avaa solmuluettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Valitse Toiminnot > Poista rekisteröinti solmu.

                                                                                                                                                  3

                                                                                                                                                  Poista virtuaalikone vSphere-asiakkaasta. (Napsauta vasemmassa siirtymisruudussa hiiren kakkospainikkeella VM: ää ja napsauta Poista.)

                                                                                                                                                  Jos et poista virtuaalikonetta, muista poistaa määrityksen ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneen avulla.

                                                                                                                                                  Järjestelmäpalautus valmiustilassa olevan datakeskuksen avulla

                                                                                                                                                  Kriittisin palvelu, jonka hybriditietoturvaklusterisi tarjoaa, on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avainten luominen ja tallentaminen. Jokaiselle organisaation käyttäjälle, joka on määritetty yhdistelmätietoturvaan, uudet avaimenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

                                                                                                                                                  Koska klusteri suorittaa kriittisen toiminnon eli tarjoaa nämä avaimet, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot säilytetään. Hybrid Data Security -tietokannan tai rakenteessa käytetyn ISO-konfiguraation menettäminen johtaa asiakassisällön peruuttamattomaan menetykseen. Seuraavat käytännöt ovat pakollisia tällaisen menetyksen estämiseksi:

                                                                                                                                                  Jos hätätilanne aiheuttaa sen, että HDS-käyttöönotto ensisijaisessa palvelinkeskuksessa ei ole käytettävissä, noudata näitä ohjeita, jos haluat siirtyä valmiustilassa olevaan palvelinkeskukseen manuaalisesti.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Määrityksen ISO:n luominen HDS-isännillemainittuja vaiheita.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

                                                                                                                                                  3

                                                                                                                                                  Lisää Lisäasetukset-sivulla alla oleva määritys tai poista passiveMode määritys, jotta solmu aktivoituu. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin.

                                                                                                                                                  5

                                                                                                                                                  Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia.

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO-tiedosto.


                                                                                                                                                   

                                                                                                                                                  Varmista, että Yhdistetty ja Yhdistä virran ollessa päällä on valittuna, jotta päivitetyt kokoonpanomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustilassa olevan palvelinkeskuksen solmulle.


                                                                                                                                                   

                                                                                                                                                  Tarkista syslog-tulosteesta, että valmiustilassa olevan palvelinkeskuksen solmut eivät ole passiivisessa tilassa. "KMS konfiguroitu passiivisessa tilassa" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen palvelinkeskus aktivoituu vikasietoisuuden jälkeen uudelleen, aseta valmiustilassa oleva palvelinkeskus uudelleen passiiviseen tilaan noudattamalla kohdassa Valmiustilan palvelinkeskuksen määrittäminen järjestelmäpalautustavarten kuvattuja ohjeita.

                                                                                                                                                  (Valinnainen) Poista ISO HDS-määrityksen jälkeen

                                                                                                                                                  HDS-vakiokokoonpano toimii ISO-asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuina. Voit poistaa ISO-tiedoston asennuksen, kun kaikki HDS-solmut poimivat uuden kokoonpanon.

                                                                                                                                                  ISO-tiedostoja käytetään edelleen kokoonpanomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, sinun on otettava päivitetty ISO käyttöön kaikissa HDS-solmuissa. Kun kaikki solmut ovat havainneet kokoonpanomuutokset, voit poistaa ISO: n uudelleen tällä menettelyllä.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sammuta yksi HDS-solmuista.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliancessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valitse Muokkaa asetuksia > CD / DVD-asema ja poista valinta Datastore ISO-tiedostosta.

                                                                                                                                                  4

                                                                                                                                                  Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista jokaiselle HDS-solmulle vuorotellen.

                                                                                                                                                  Vianmääritys hybridi tietoturva

                                                                                                                                                  Hälytysten tarkasteleminen ja vianmääritys

                                                                                                                                                  Hybrid Data Security -käyttöönoton ei katsota olevan käytettävissä, jos klusterin kaikkiin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä yhdistelmätietoturvaklusteriin, he kohtaavat seuraavat ongelmat:

                                                                                                                                                  • Uusia tiloja ei voi luoda (uusia avaimia ei voi luoda)

                                                                                                                                                  • Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:

                                                                                                                                                    • Uudet käyttäjät lisätty tilaan (avaimia ei voi noutaa)

                                                                                                                                                    • Tilassa olevat käyttäjät, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)

                                                                                                                                                  • Tilan nykyiset käyttäjät toimivat edelleen onnistuneesti niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

                                                                                                                                                  On tärkeää, että valvot hybriditietoturvaklusteriasi oikein ja reagoit hälytyksiin nopeasti, jotta vältät palveluhäiriöt.

                                                                                                                                                  Ilmoitukset

                                                                                                                                                  Jos yhdistelmätietoturvan asetuksissa on ongelma, Ohjauskeskus näyttää hälytykset organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä tilanteita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisuvaiheet

                                                                                                                                                  Hälytys

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttövirhe.

                                                                                                                                                  Tarkista tietokantavirheet tai paikallisverkko-ongelmat.

                                                                                                                                                  Paikallisen tietokannan yhteysvirhe.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttövirhe.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa Ulkoiset yhteysvaatimuksetmääritetyllä tavalla .

                                                                                                                                                  Pilvipalvelun rekisteröinnin uusiminen.

                                                                                                                                                  Rekisteröitymisestä pilvipalveluihin luovuttiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti putosi.

                                                                                                                                                  Rekisteröityminen pilvipalveluihin päättyi. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeiluversio tai viimeistele kokeiluversion siirtäminen tuotantoon.

                                                                                                                                                  Määritetty toimialue ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenteen CN muutettiin äskettäin ja se eroaa nyt alkuasennuksen aikana käytetystä CN: stä.

                                                                                                                                                  Todennus pilvipalveluihin epäonnistui.

                                                                                                                                                  Tarkista palvelutilin tunnistetietojen oikeellisuus ja mahdollinen vanhentuminen.

                                                                                                                                                  Paikallisen avainsäilötiedoston avaaminen epäonnistui.

                                                                                                                                                  Tarkista paikallisen avainsäilötiedoston eheys ja salasanan tarkkuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelinvarmenteen vanhentumispäivä ja varmista, että sen on myöntänyt luotettu varmenteen myöntäjä.

                                                                                                                                                  Mittareita ei voi lähettää.

                                                                                                                                                  Tarkista paikallisen verkon yhteys ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole.

                                                                                                                                                  Tarkista virtuaalisen isännän ISO-asennuksen kokoonpano. Varmista, että ISO-tiedosto on olemassa, että se on määritetty otettavaksi käyttöön uudelleenkäynnistyksen yhteydessä ja että se otetaan käyttöön onnistuneesti.

                                                                                                                                                  Hybriditietoturvan vianmääritys

                                                                                                                                                  Käytä seuraavia yleisiä ohjeita hybriditietoturvaongelmien vianmäärityksessä.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hubista hälytykset ja korjaa sieltä löytämäsi kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tuloste hybriditietoturvan käyttöönoton toimintojen varalta.

                                                                                                                                                  3

                                                                                                                                                  Ota yhteyttä Ciscon tukeen.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos suljet hybriditietoturvaklusterin (poistamalla sen Ohjauskeskuksessa tai sulkemalla kaikki solmut), menetät ISO-määritystiedoston tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksen käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS:n avaimilla. Tämä koskee sekä koe- että tuotantokäyttöönottoja. Meillä ei tällä hetkellä ole kiertotapaa tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palveluitasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS:ään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti yhden tunnin). Kun käyttäjästä tulee yhdistelmätietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaistaan. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama ongelma ilmenee, kun siirrät kokeiluversion organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on jo ECDH-yhteys aiempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

                                                                                                                                                  Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston tekemiseen oikeaan muotoon lataamista varten HDS Setup Tool -työkalussa. On muitakin tapoja tehdä tämä, emmekä tue tai edistä yhtä tapaa toisen kustannuksella.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmennevaatimukset X.509-varmennevaatimuksissa . Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmisto ja dokumentaatio.

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita nämä toimet, kun saat palvelinvarmenteen varmenteen myöntäjältä.

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen varmentajaltasi, tallenna se nimellä hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto, jolla on kutsumanimi kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Anna salasana kehotteeseen salata yksityinen avain niin, että se näkyy tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palaa suorittamaan hybriditietoturvanedellytykset. Käytät hdsnode.p12-tiedostoon ja sille asettamasi salasanan kohdassa Luo määrityksen ISO HDS-isännille.


                                                                                                                                                   

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  HDS-solmujen ja pilven välinen liikenne

                                                                                                                                                  Lähtevien mittareiden kokoelman liikenne

                                                                                                                                                  Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmämittarit kasan enimmäismäärälle, käytetylle kekolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden mittarit; tiedot hälytyksistä, joihin liittyy salausyhteyksien kynnysarvo, viive tai pyyntöjonon pituus; tietosäilön mittarit; ja salausyhteyden mittarit. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen kanavan kautta (erillään pyynnöstä).

                                                                                                                                                  Saapuva liikenne

                                                                                                                                                  Hybrid Data Security -solmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

                                                                                                                                                  • Asiakkaiden salauspyynnöt, jotka salauspalvelu reitittää

                                                                                                                                                  • Solmuohjelmiston päivitykset

                                                                                                                                                  Määritä kalmarien välityspalvelimet hybriditietoturvaa varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä kalmarin välityspalvelimen kautta

                                                                                                                                                  Kalmarien välityspalvelimet, jotka tarkastavat HTTPS-liikenteen, voivat häiritä websocketin perustamista ( wss:) yhteydet, joita hybriditietoturva edellyttää. Näissä osissa on ohjeita siitä, miten Squidin eri versiot määritetään ohitettaviksi wss: liikenne palvelujen asianmukaisen toiminnan varmistamiseksi.

                                                                                                                                                  Kalmari 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol Direktiivi squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Kalmari 3.5.27

                                                                                                                                                  Testasimme hybriditietoturvaa onnistuneesti lisäämällä seuraavat säännöt: squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilven.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Esipuhe

                                                                                                                                                  Uudet ja muuttuneet tiedot

                                                                                                                                                  Päivämäärä

                                                                                                                                                  Tehdyt muutokset

                                                                                                                                                  lokakuu 20, 2023

                                                                                                                                                  Elokuu 07, 2023

                                                                                                                                                  touko 23, 2023

                                                                                                                                                  Joulukuu 06, 2022

                                                                                                                                                  marraskuu 23, 2022

                                                                                                                                                  lokakuu 13, 2021

                                                                                                                                                  Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Dockerin työpöytävaatimukset.

                                                                                                                                                  kesäkuu 24, 2021

                                                                                                                                                  Huomaa, että voit käyttää yksityistä avaintiedostoa ja CSR: ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja kohdasta OpenSSL:n käyttäminen PKCS12-tiedoston luomiseen.

                                                                                                                                                  huhtikuu 30, 2021

                                                                                                                                                  Paikallisen kiintolevytilan virtuaalikonevaatimus muutettiin 30 gigatavuun. Katso lisätietoja virtuaalisen isännän vaatimuksista .

                                                                                                                                                  helmikuu 24, 2021

                                                                                                                                                  HDS Setup Tool voidaan nyt suorittaa välityspalvelimen takana. Katso lisätietoja kohdasta Määritä ISO HDS-isännille .

                                                                                                                                                  helmikuu 2, 2021

                                                                                                                                                  HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen.

                                                                                                                                                  tammikuu 11, 2021

                                                                                                                                                  Lisätty tietoja HDS-asetustyökalusta ja välityspalvelimista, joiden avulla voit luoda määrityksen ISO:n HDS-isännille.

                                                                                                                                                  lokakuu 13, 2020

                                                                                                                                                  Päivitetyt latausasennustiedostot.

                                                                                                                                                  lokakuu 8, 2020

                                                                                                                                                  Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä FedRAMP-ympäristöjen komennoilla.

                                                                                                                                                  Elokuu 14, 2020

                                                                                                                                                  Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä kirjautumisprosessin muutoksilla.

                                                                                                                                                  Elokuu 5, 2020

                                                                                                                                                  Päivitetty Testaa hybriditietoturvan käyttöönotto lokiviesteissä tapahtuvien muutosten varalta.

                                                                                                                                                  Päivitetyt virtuaalisen isännän vaatimukset isäntien enimmäismäärän poistamiseksi.

                                                                                                                                                  kesäkuu 16, 2020

                                                                                                                                                  Päivitetty Poista solmu ohjauskeskuksen käyttöliittymän muutosten vuoksi.

                                                                                                                                                  kesäkuu 4, 2020

                                                                                                                                                  Päivitetty Luo määrityksen ISO HDS-isännille mahdollisesti määrittämiesi lisäasetusten muutoksia varten.

                                                                                                                                                  Voi 29, 2020

                                                                                                                                                  Päivitetty Luo määrityksen ISO HDS-isännille osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennysten kanssa.

                                                                                                                                                  Voi 5, 2020

                                                                                                                                                  Päivitetyt virtuaalisen isännän vaatimukset ESXi 6.5: n uuden vaatimuksen näyttämiseksi.

                                                                                                                                                  huhtikuu 21, 2020

                                                                                                                                                  Päivitetyt ulkoisten yhteyksien vaatimukset uusien Americas CI -isäntien kanssa.

                                                                                                                                                  huhtikuu 1, 2020

                                                                                                                                                  Päivitetyt ulkoisten yhteyksien vaatimukset , jotka sisältävät tietoja alueellisista CI-isännistä.

                                                                                                                                                  helmikuu 20, 2020Päivitetty Luo määritys-ISO HDS-isännille tiedoilla HDS-asennustyökalun uudesta valinnaisesta Lisäasetukset-näytöstä.
                                                                                                                                                  helmikuu 4, 2020Päivitetyt välityspalvelinvaatimukset.
                                                                                                                                                  joulukuu 16, 2019Selvennetty vaatimusta, jonka mukaan estetyn ulkoisen DNS-selvitystilan on toimittava välityspalvelimen vaatimuksissa .
                                                                                                                                                  marraskuu 19, 2019

                                                                                                                                                  Lisätty tietoja estetystä ulkoisesta DNS-selvitystilasta seuraaviin osioihin:

                                                                                                                                                  marraskuu 8, 2019

                                                                                                                                                  Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä jälkikäteen.

                                                                                                                                                  Seuraavat osiot päivitettiin vastaavasti:

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  syyskuu 6, 2019

                                                                                                                                                  Lisätty SQL Server Standard tietokantapalvelinvaatimuksiin .

                                                                                                                                                  elokuu 29, 2019Lisätty Määritä kalmarien välityspalvelimet hybriditietoturvaa varten -liite, jossa on ohjeita Kalmari-välityspalvelinten määrittämiseen ohittamaan verkkopistokeliikenne asianmukaisen toiminnan varmistamiseksi.
                                                                                                                                                  elokuu 20, 2019

                                                                                                                                                  Lisätty ja päivitetty osioita, jotka kattavat välityspalvelimen tuen hybriditietoturvasolmujen viestinnälle Webex-pilveen.

                                                                                                                                                  Jos haluat käyttää vain aiemmin luodun käyttöönoton välityspalvelimen tukisisältöä, tutustu Välityspalvelimen tuki hybriditietoturvaan ja Webex Video Mesh -ohjeartikkeliin.

                                                                                                                                                  kesäkuu 13, 2019Päivitetty kokeiluversiosta tuotantotehtävänkulkuun muistutus synkronoida HdsTrialGroup-ryhmäobjekti ennen kokeiluversion aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.
                                                                                                                                                  maaliskuu 6, 2019
                                                                                                                                                  helmikuu 28, 2019
                                                                                                                                                  • Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrä, joka tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 gigatavusta 20 gigatavuun, vastaamaan OVA:n luoman levyn kokoa.

                                                                                                                                                  helmikuu 26, 2019

                                                                                                                                                  tammikuu 24, 2019

                                                                                                                                                  • Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. Hybrid Data Securityssä käytettävät JDBC-ohjaimet tukevat SQL Server Always On (Always On Failover Clusters ja Always on Availability Groups) -toimintoa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.

                                                                                                                                                    Microsoft SQL Server -tuki on tarkoitettu vain uusille yhdistelmätietoturvan käyttöönotoille. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

                                                                                                                                                  marraskuu 5, 2018
                                                                                                                                                  lokakuu 19, 2018
                                                                                                                                                  • Jaa palomuurin yhteystiedot solmuvaatimuksiin ja ISO-määrityskoneen vaatimuksiin kohdassa Täytä hybriditietoturvanedellytykset.

                                                                                                                                                  heinäkuu 31, 2018

                                                                                                                                                  21. toukokuuta 2018

                                                                                                                                                  Terminologiaa muutettu vastaamaan Cisco Sparkin uudelleenbrändäystä:

                                                                                                                                                  • Cisco Spark Hybrid Data Security on nyt hybriditietoturva.

                                                                                                                                                  • Cisco Spark -sovellus on nyt Webex App -sovellus.

                                                                                                                                                  • Cisco Collaboraton Cloud on nyt Webex-pilvi.

                                                                                                                                                  huhtikuu 11, 2018
                                                                                                                                                  helmikuu 22, 2018
                                                                                                                                                  helmikuu 15, 2018
                                                                                                                                                  tammikuu 18, 2018

                                                                                                                                                  marraskuu 2, 2017

                                                                                                                                                  • Parannettu HdsTrialGroupin hakemistosynkronointia.

                                                                                                                                                  • Korjattu ohjeet ISO-määritystiedoston lataamiseksi VM-solmuihin asentamista varten.

                                                                                                                                                  elokuu 18, 2017

                                                                                                                                                  Ensimmäinen julkaisu

                                                                                                                                                  Aloita hybridi-tietoturva

                                                                                                                                                  Yleiskatsaus hybriditietojen tietoturvaan

                                                                                                                                                  Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

                                                                                                                                                  Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

                                                                                                                                                  Turvallisuusalueen arkkitehtuuri

                                                                                                                                                  Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

                                                                                                                                                  Erillisalueet (ilman hybriditietoturvaa)

                                                                                                                                                  Jotta ymmärtäisimme hybriditietoturvaa paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

                                                                                                                                                  Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

                                                                                                                                                  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

                                                                                                                                                  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.

                                                                                                                                                  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

                                                                                                                                                  4. Salattu viesti tallennetaan tallennuskenttään.

                                                                                                                                                  Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

                                                                                                                                                  Yhteistyö muiden organisaatioiden kanssa

                                                                                                                                                  Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.

                                                                                                                                                  Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .

                                                                                                                                                  Hybriditietoturvan käyttöönottoa koskevat odotukset

                                                                                                                                                  Korkean tason asennusprosessi

                                                                                                                                                  Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:

                                                                                                                                                  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

                                                                                                                                                    Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

                                                                                                                                                  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.

                                                                                                                                                  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

                                                                                                                                                  Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM:ille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

                                                                                                                                                  Hybriditietoturvan käyttöönottomalli

                                                                                                                                                  Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

                                                                                                                                                  Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnot samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

                                                                                                                                                  Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

                                                                                                                                                  Tuemme vain yhtä klusteria per organisaatio.

                                                                                                                                                  Hybriditietoturvan kokeilutila

                                                                                                                                                  Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.

                                                                                                                                                  Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".

                                                                                                                                                  Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopiot klusterin hybriditietoturvasolmujen osalta.

                                                                                                                                                  Valmiustietokeskus katastrofista toipumista varten

                                                                                                                                                  Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

                                                                                                                                                  Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
                                                                                                                                                  Manuaalinen viansiirto valmiustietokeskukseen

                                                                                                                                                  Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.

                                                                                                                                                  Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

                                                                                                                                                  Aseta varalla oleva datakeskus katastrofihyötyä varten

                                                                                                                                                  Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

                                                                                                                                                  ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset on tarkoitus tehdä.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

                                                                                                                                                  3

                                                                                                                                                  Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.

                                                                                                                                                   passiveMode: 'true' 

                                                                                                                                                  4

                                                                                                                                                  Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

                                                                                                                                                  Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

                                                                                                                                                  Tarkista syslogien avulla, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä näkemään viesti "KMS configured in passive mode" (KMS määritetty passiiviseen tilaan) syslogeissa.

                                                                                                                                                  Kun olet määrittänyt passiveMode ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode -määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode , voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Katso yksityiskohtainen vikasietoisuusmenettely osoitteessa Disaster Recovery using Standby Data Center .

                                                                                                                                                  Proxy-tuki

                                                                                                                                                  Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

                                                                                                                                                  Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

                                                                                                                                                  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

                                                                                                                                                  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken tietoliikenteesi (jopa HTTPS).

                                                                                                                                                  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

                                                                                                                                                    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

                                                                                                                                                    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

                                                                                                                                                    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

                                                                                                                                                      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

                                                                                                                                                      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

                                                                                                                                                    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään - Muita todennuksia ei tarvita.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

                                                                                                                                                        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                      • Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

                                                                                                                                                        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.

                                                                                                                                                        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

                                                                                                                                                  Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

                                                                                                                                                  Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

                                                                                                                                                  Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  Hybriditietoturvaa koskevat vaatimukset

                                                                                                                                                  Cisco Webexin lisenssivaatimukset

                                                                                                                                                  Hybriditietoturvan käyttöönotto:

                                                                                                                                                  Docker Desktop -vaatimukset

                                                                                                                                                  Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

                                                                                                                                                  X.509-varmenteen vaatimukset

                                                                                                                                                  Varmenteketjun on täytettävä seuraavat vaatimukset:

                                                                                                                                                  Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

                                                                                                                                                  Vaatimus

                                                                                                                                                  Tiedot

                                                                                                                                                  • Luotettavan varmentajan (CA) allekirjoittama.

                                                                                                                                                  Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi Hybrid Data Security -käyttöönoton.

                                                                                                                                                  • Ei ole jokerimerkkivarmenne

                                                                                                                                                  CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi hds.company.com.

                                                                                                                                                  CN ei saa sisältää *-merkkiä (jokerimerkki).

                                                                                                                                                  CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

                                                                                                                                                  Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä.

                                                                                                                                                  • Muu kuin SHA1-allekirjoitus

                                                                                                                                                  KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

                                                                                                                                                  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

                                                                                                                                                  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

                                                                                                                                                  Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

                                                                                                                                                  Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

                                                                                                                                                  KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

                                                                                                                                                  Virtuaalisen isännän vaatimukset

                                                                                                                                                  Virtuaalisilla isännöintiasemilla, jotka perustat klusterin Hybrid Data Security -solmuiksi, on seuraavat vaatimukset:

                                                                                                                                                  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

                                                                                                                                                  • VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.

                                                                                                                                                    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

                                                                                                                                                  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

                                                                                                                                                  Tietokantapalvelimen vaatimukset

                                                                                                                                                  Luo uusi tietokanta avainten tallentamista varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

                                                                                                                                                  Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

                                                                                                                                                  Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

                                                                                                                                                  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

                                                                                                                                                    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

                                                                                                                                                  Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

                                                                                                                                                  HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC -ajuri 42.2.5

                                                                                                                                                  SQL Server JDBC -ajuri 4.6

                                                                                                                                                  Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

                                                                                                                                                  Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

                                                                                                                                                  Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

                                                                                                                                                  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

                                                                                                                                                  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

                                                                                                                                                  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

                                                                                                                                                  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

                                                                                                                                                    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

                                                                                                                                                  Ulkoiset liitäntävaatimukset

                                                                                                                                                  Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

                                                                                                                                                  Sovellus

                                                                                                                                                  Protokolla

                                                                                                                                                  Portti

                                                                                                                                                  Suunta sovelluksesta

                                                                                                                                                  Kohde

                                                                                                                                                  Hybriditietoturvasolmut

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS ja WSS

                                                                                                                                                  • Webex-palvelimet:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palveluiden verkkovaatimukset

                                                                                                                                                  HDS-asennustyökalu

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Lähtevä HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Kaikki Common Identity -isännät

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.

                                                                                                                                                  Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

                                                                                                                                                  Alue

                                                                                                                                                  Yleiset identiteetin isäntä-URL-osoitteet

                                                                                                                                                  Americas

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Euroopan unioni

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Välityspalvelimen vaatimukset

                                                                                                                                                  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

                                                                                                                                                    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisiittinen proxy-Squid.

                                                                                                                                                      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

                                                                                                                                                    • Ei todennusta HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Perustodennus HTTP:llä tai HTTPS:llä

                                                                                                                                                    • Digest-todennus vain HTTPS:n kanssa

                                                                                                                                                  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

                                                                                                                                                  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

                                                                                                                                                  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

                                                                                                                                                  Täytä hybridi-tietoturvan edellytykset.

                                                                                                                                                  Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
                                                                                                                                                  1

                                                                                                                                                  Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

                                                                                                                                                  2

                                                                                                                                                  Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

                                                                                                                                                  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

                                                                                                                                                  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

                                                                                                                                                    • isännän nimi tai IP-osoite (host) ja portti.

                                                                                                                                                    • tietokannan nimi (dbname), johon avaimet tallennetaan.

                                                                                                                                                    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

                                                                                                                                                  5

                                                                                                                                                  Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

                                                                                                                                                  6

                                                                                                                                                  Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.

                                                                                                                                                  Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

                                                                                                                                                  Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

                                                                                                                                                  8

                                                                                                                                                  Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

                                                                                                                                                  9

                                                                                                                                                  Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

                                                                                                                                                  Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

                                                                                                                                                  Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

                                                                                                                                                  10

                                                                                                                                                  Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

                                                                                                                                                  11

                                                                                                                                                  Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjät. Kokeiluryhmässä voi olla enintään 250 käyttäjää. HdsTrialGroup -objekti on synkronoitava pilvipalveluun, ennen kuin voit aloittaa organisaatiosi kokeilun. Jos haluat synkronoida ryhmäkohteen, valitse se Directory Connectorin Configuration > Object Selection -valikossa. (Yksityiskohtaiset ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.)

                                                                                                                                                  Avaimet tietylle tilalle asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Häviö näkyy heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

                                                                                                                                                  Hybriditietoturvaklusterin perustaminen

                                                                                                                                                  Hybriditietoturvan käyttöönoton tehtävävirta

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Valmistele ympäristösi

                                                                                                                                                  1

                                                                                                                                                  Suorita alkuasetukset ja lataa asennustiedostot

                                                                                                                                                  Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

                                                                                                                                                  2

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

                                                                                                                                                  3

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  4

                                                                                                                                                  Hybriditietoturva VM:n määrittäminen

                                                                                                                                                  Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  5

                                                                                                                                                  Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

                                                                                                                                                  Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

                                                                                                                                                  6

                                                                                                                                                  HDS-solmun määrittäminen välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

                                                                                                                                                  7

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

                                                                                                                                                  8

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Viimeistele klusterin asennus.

                                                                                                                                                  9

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava luku).

                                                                                                                                                  Kunnes aloitat kokeilun, solmupisteesi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Lataa asennustiedostot

                                                                                                                                                  Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva-kortti ja valitse sitten Määritä.

                                                                                                                                                  Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioon. Anna heille tilinumerosi ja pyydä ottamaan organisaatiosi käyttöön Hybrid Data Security. Löydät tilinumeron napsauttamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.

                                                                                                                                                  Voit myös ladata OVA:n milloin tahansa Help -osiosta Settings -sivulla. Avaa sivu Hybrid Data Security -kortilla napsauttamalla Muokkaa asetuksia . Napsauta sitten Lataa Hybrid Data Security -ohjelmisto Help -osiossa .

                                                                                                                                                  Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

                                                                                                                                                  3

                                                                                                                                                  Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava.

                                                                                                                                                  OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
                                                                                                                                                  4

                                                                                                                                                  Voit myös valita Avaa käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

                                                                                                                                                  Luo konfigurointi-ISO HDS-isäntäkoneille.

                                                                                                                                                  Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

                                                                                                                                                    HTTP-välityspalvelin todennuksen kanssa

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

                                                                                                                                                    • Tietokannan tunnistetiedot

                                                                                                                                                    • Todistuksen päivitykset

                                                                                                                                                    • Muutokset valtuutuskäytäntöön

                                                                                                                                                  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

                                                                                                                                                  1

                                                                                                                                                  Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2

                                                                                                                                                  Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Lataa uusin vakaa imago ympäristöllesi:

                                                                                                                                                  Tavallisissa ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-ympäristöissä:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

                                                                                                                                                  • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

                                                                                                                                                  6

                                                                                                                                                  Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

                                                                                                                                                  Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita Control Hubin asiakkaan admin-käyttäjätunnus kehotteeseen.

                                                                                                                                                  Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

                                                                                                                                                  7

                                                                                                                                                  Anna pyydettäessä Control Hub -asiakkaan järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

                                                                                                                                                  8

                                                                                                                                                  Napsauta Setup Tool -katsaussivulla Get Started.

                                                                                                                                                  9

                                                                                                                                                  ISO Import -sivulla on seuraavat vaihtoehdot:

                                                                                                                                                  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
                                                                                                                                                  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
                                                                                                                                                  10

                                                                                                                                                  Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

                                                                                                                                                  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
                                                                                                                                                  • Jos varmenne on OK, valitse Jatka.
                                                                                                                                                  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
                                                                                                                                                  11

                                                                                                                                                  Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

                                                                                                                                                  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

                                                                                                                                                    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

                                                                                                                                                  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

                                                                                                                                                    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

                                                                                                                                                    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

                                                                                                                                                  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    dbhost.example.org:1433 tai 198.51.100.17:1433

                                                                                                                                                    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

                                                                                                                                                    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

                                                                                                                                                  4. Kirjoita tietokannan nimi.

                                                                                                                                                  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

                                                                                                                                                  12

                                                                                                                                                  Valitse TLS-tietokantayhteystapa:

                                                                                                                                                  Tila

                                                                                                                                                  Kuvaus

                                                                                                                                                  Prefer TLS (oletusasetus)

                                                                                                                                                  HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

                                                                                                                                                  Vaadi TLS

                                                                                                                                                  HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  Vaadi TLS ja tarkista varmenteen allekirjoittaja

                                                                                                                                                  Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

                                                                                                                                                  Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

                                                                                                                                                  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

                                                                                                                                                  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

                                                                                                                                                  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

                                                                                                                                                  Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

                                                                                                                                                  Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

                                                                                                                                                  13

                                                                                                                                                  Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

                                                                                                                                                  1. Kirjoita syslog-palvelimen URL-osoite.

                                                                                                                                                    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

                                                                                                                                                    Esimerkki:
                                                                                                                                                    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.
                                                                                                                                                  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

                                                                                                                                                    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

                                                                                                                                                  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

                                                                                                                                                    • Nollatavu -- \x00

                                                                                                                                                    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

                                                                                                                                                  4. Napsauta Jatka.

                                                                                                                                                  14

                                                                                                                                                  (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

                                                                                                                                                  app_datasource_connection_pool_maxKoko: 10
                                                                                                                                                  15

                                                                                                                                                  Napsauta Jatka Reset Service Accounts Password -näytössä.

                                                                                                                                                  Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

                                                                                                                                                  16

                                                                                                                                                  Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  17

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

                                                                                                                                                  Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  18

                                                                                                                                                  Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

                                                                                                                                                  Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

                                                                                                                                                  Asenna HDS Host OVA

                                                                                                                                                  Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

                                                                                                                                                  2

                                                                                                                                                  Valitse File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

                                                                                                                                                  4

                                                                                                                                                  Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

                                                                                                                                                  Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

                                                                                                                                                  6

                                                                                                                                                  Tarkista mallin tiedot ja napsauta sitten Next.

                                                                                                                                                  7

                                                                                                                                                  Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

                                                                                                                                                  8

                                                                                                                                                  Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

                                                                                                                                                  9

                                                                                                                                                  Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

                                                                                                                                                  10

                                                                                                                                                  Määritä seuraavat verkkoasetukset sivulla Customize template :

                                                                                                                                                  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.
                                                                                                                                                    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tueta tällä hetkellä.

                                                                                                                                                    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

                                                                                                                                                  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

                                                                                                                                                    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
                                                                                                                                                  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
                                                                                                                                                  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
                                                                                                                                                  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.
                                                                                                                                                  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

                                                                                                                                                  Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti.

                                                                                                                                                  Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

                                                                                                                                                  11

                                                                                                                                                  Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

                                                                                                                                                  Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

                                                                                                                                                  Vianmääritysvinkkejä

                                                                                                                                                  Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat käyttöön. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

                                                                                                                                                  Hybriditietoturva VM:n määrittäminen

                                                                                                                                                  Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

                                                                                                                                                  1

                                                                                                                                                  Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

                                                                                                                                                  VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
                                                                                                                                                  2

                                                                                                                                                  Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

                                                                                                                                                  1. Kirjaudu sisään: admin

                                                                                                                                                  2. Salasana: cisco

                                                                                                                                                  Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

                                                                                                                                                  3

                                                                                                                                                  Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

                                                                                                                                                  4

                                                                                                                                                  Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

                                                                                                                                                  5

                                                                                                                                                  (Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

                                                                                                                                                  Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

                                                                                                                                                  6

                                                                                                                                                  Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

                                                                                                                                                  Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

                                                                                                                                                  Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

                                                                                                                                                  1

                                                                                                                                                  Lataa ISO-tiedosto tietokoneeltasi:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

                                                                                                                                                  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

                                                                                                                                                  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

                                                                                                                                                  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

                                                                                                                                                  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

                                                                                                                                                  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

                                                                                                                                                  2

                                                                                                                                                  Kiinnitä ISO-tiedosto:

                                                                                                                                                  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

                                                                                                                                                  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

                                                                                                                                                  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

                                                                                                                                                  4. Tarkista Kytketty ja Kytke virta päälle.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

                                                                                                                                                  HDS-solmun määrittäminen välityspalvelimen integrointia varten

                                                                                                                                                  Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  1

                                                                                                                                                  Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

                                                                                                                                                  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
                                                                                                                                                  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken tietoliikenteesi (jopa HTTPS).
                                                                                                                                                  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:
                                                                                                                                                    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

                                                                                                                                                    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

                                                                                                                                                    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

                                                                                                                                                    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

                                                                                                                                                      • Ei mitään - Muita todennuksia ei tarvita.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

                                                                                                                                                        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                      • Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

                                                                                                                                                        Käytettävissä vain HTTPS-välityspalvelimille.

                                                                                                                                                        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

                                                                                                                                                  Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

                                                                                                                                                  Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

                                                                                                                                                  4

                                                                                                                                                  Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

                                                                                                                                                  Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

                                                                                                                                                  5

                                                                                                                                                  Kun yhteystesti on läpäissyt, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

                                                                                                                                                  6

                                                                                                                                                  Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvä tarkastava välityspalvelin) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen), lue kehote ja napsauta sitten Asenna , jos olet valmis.

                                                                                                                                                  Solmu käynnistyy uudelleen muutamassa minuutissa.

                                                                                                                                                  7

                                                                                                                                                  Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

                                                                                                                                                  Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa.

                                                                                                                                                  Rekisteröi klusterin ensimmäinen solmu

                                                                                                                                                  Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

                                                                                                                                                  Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

                                                                                                                                                  3

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybrid Data Security ja napsauta Set up.

                                                                                                                                                  Näyttöön tulee Rekisteröi hybridi tietoturvasolmu -sivu.
                                                                                                                                                  4

                                                                                                                                                  Valitse Kyllä osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava.

                                                                                                                                                  5

                                                                                                                                                  Kirjoita ensimmäiseen kenttään sen klusterin nimi, johon haluat määrittää Hybrid Data Security -solmun.

                                                                                                                                                  Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

                                                                                                                                                  6

                                                                                                                                                  Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next.

                                                                                                                                                  Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

                                                                                                                                                  Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
                                                                                                                                                  7

                                                                                                                                                  Napsauta Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Napsauta varoitusviestissä Jatka .

                                                                                                                                                  Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.
                                                                                                                                                  9

                                                                                                                                                  Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

                                                                                                                                                  Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  10

                                                                                                                                                  Napsauta linkkiä tai sulje välilehti palataksesi takaisin Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Hybrid Data Security -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

                                                                                                                                                  Luo ja rekisteröi lisää solmuja

                                                                                                                                                  Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

                                                                                                                                                  Tällä hetkellä varmuuskopio-VM:t, jotka olet luonut osoitteessa Complete the Prerequisites for Hybrid Data Security , ovat valmiusisäntiä, joita käytetään vain katastrofista toipumisen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on osoitteessa Disaster Recovery using Standby Data Center.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

                                                                                                                                                  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

                                                                                                                                                  1

                                                                                                                                                  Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

                                                                                                                                                  3

                                                                                                                                                  Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

                                                                                                                                                  4

                                                                                                                                                  Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

                                                                                                                                                  5

                                                                                                                                                  Rekisteröi solmu.

                                                                                                                                                  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

                                                                                                                                                  2. Etsi Hybridipalvelut-osiosta Hybriditietoturva-kortti ja napsauta Resurssit.

                                                                                                                                                    Hybriditietoturvaresurssit-sivu tulee näkyviin.
                                                                                                                                                  3. Napsauta Add Resource.

                                                                                                                                                  4. Valitse ensimmäiseen kenttään olemassa olevan klusterin nimi.

                                                                                                                                                  5. Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next.

                                                                                                                                                    Näyttöön tulee viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen.
                                                                                                                                                  6. Napsauta Go to Node.

                                                                                                                                                    Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.
                                                                                                                                                  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

                                                                                                                                                    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
                                                                                                                                                  8. Napsauta linkkiä tai sulje välilehti palataksesi takaisin Control Hub Hybrid Data Security -sivulle.

                                                                                                                                                  Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon (seuraava luku).

                                                                                                                                                  Suorita kokeilu ja siirry tuotantoon

                                                                                                                                                  Kokeilusta tuotantoon tehtävänkulku

                                                                                                                                                  Kun olet perustanut Hybrid Data Security -klusterin, voit aloittaa pilottihankkeen, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen tuotantoon siirtymistä varten.

                                                                                                                                                  1

                                                                                                                                                  Synkronoi tarvittaessa HdsTrialGroup -ryhmäobjekti.

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivoi Trial

                                                                                                                                                  Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

                                                                                                                                                  3

                                                                                                                                                  Testaa hybriditietoturvan käyttöönottoa

                                                                                                                                                  Tarkista, että keskeiset pyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  4

                                                                                                                                                  Hybriditietojen tietoturvan tilan seuranta

                                                                                                                                                  Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.

                                                                                                                                                  5

                                                                                                                                                  Lisää tai poista käyttäjiä kokeilusta

                                                                                                                                                  6

                                                                                                                                                  Suorita kokeiluvaihe loppuun jollakin seuraavista toimista:

                                                                                                                                                  Aktivoi Trial

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa organisaatiosi kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -osiossa Käynnistä kokeilu.

                                                                                                                                                  Palvelun tila muuttuu kokeilutilaan.
                                                                                                                                                  4

                                                                                                                                                  Napsauta Add Users ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla Hybrid Data Security -solmujen käyttöä salaus- ja indeksointipalveluihin.

                                                                                                                                                  (Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directoryta kokeiluryhmän hallintaan, HdsTrialGroup.)

                                                                                                                                                  Testaa hybriditietoturvan käyttöönottoa

                                                                                                                                                  Tällä menettelyllä voit testata hybriditietoturvan salausskenaarioita.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • Määritä hybriditietoturvan käyttöönotto.

                                                                                                                                                  • Aktivoi kokeiluversio ja lisää useita kokeilukäyttäjiä.

                                                                                                                                                  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  1

                                                                                                                                                  Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

                                                                                                                                                  Jos poistat Hybrid Data Security -käyttöönoton käytöstä, pilottikäyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeiset kopiot on korvattu.

                                                                                                                                                  2

                                                                                                                                                  Lähetä viestejä uuteen tilaan.

                                                                                                                                                  3

                                                                                                                                                  Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

                                                                                                                                                  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sinun pitäisi löytää seuraava merkintä:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybriditietojen tietoturvan tilan seuranta

                                                                                                                                                  Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
                                                                                                                                                  1

                                                                                                                                                  Valitse Control Hubissa näytön vasemmassa reunassa olevasta valikosta Palvelut .

                                                                                                                                                  2

                                                                                                                                                  Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Asetukset.

                                                                                                                                                  Hybriditietojen suojausasetukset -sivu tulee näkyviin.
                                                                                                                                                  3

                                                                                                                                                  Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

                                                                                                                                                  Lisää tai poista käyttäjiä kokeilusta

                                                                                                                                                  Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjät, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilujakson ollessa aktiivinen.

                                                                                                                                                  Jos poistat käyttäjän kokeilusta, käyttäjän asiakas pyytää avaimia ja avainten luomista pilvipalvelun KMS:stä oman KMS:n sijasta. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS-järjestelmään, pilvi-KMS hakee sen käyttäjän puolesta.

                                                                                                                                                  Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijasta) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa heitä.

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiä tai poista käyttäjät kokeilusta napsauttamalla Näytä ja muokkaa .

                                                                                                                                                  4

                                                                                                                                                  Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeilusta napsauttamalla käyttäjätunnuksen vieressä olevaa X . Napsauta sitten Tallenna.

                                                                                                                                                  Siirtyminen kokeilusta tuotantoon

                                                                                                                                                  Kun olet tyytyväinen siihen, että käyttöönotto toimii hyvin kokeilukäyttäjien kannalta, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvakentän palveluihin. Et voi siirtyä takaisin kokeilutilaan tuotantotilasta, ellet poista palvelua käytöstä osana palautusta. Palvelun aktivoiminen uudelleen edellyttää uuden kokeilujakson määrittämistä.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Valitse Palvelun tila -osiossa Siirrä tuotantoon.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon.

                                                                                                                                                  Lopeta kokeilu siirtymättä tuotantoon

                                                                                                                                                  Jos päätät kokeilun aikana, ettet jatka Hybrid Data Securityn käyttöönottoa, voit poistaa Hybrid Data Securityn käytöstä, jolloin kokeilu päättyy ja kokeilukäyttäjät siirtyvät takaisin pilvipalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeilun aikana salattuihin tietoihin.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2

                                                                                                                                                  Napsauta Hybriditietoturva-kohdassa Asetukset.

                                                                                                                                                  3

                                                                                                                                                  Napsauta Deaktivoi-osiossa Deaktivoi.

                                                                                                                                                  4

                                                                                                                                                  Vahvista, että haluat poistaa palvelun käytöstä ja lopettaa kokeilujakson.

                                                                                                                                                  Hallitse HDS-käyttöönottoa

                                                                                                                                                  Hallitse HDS:n käyttöönottoa

                                                                                                                                                  Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

                                                                                                                                                  Aseta klusterin päivitysaikataulu

                                                                                                                                                  Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

                                                                                                                                                  Päivityksen aikataulun asettaminen:

                                                                                                                                                  1

                                                                                                                                                  Kirjaudu sisään osoitteessa Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdasta Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Valitse klusteri Hybriditietoturvaresurssit-sivulla.

                                                                                                                                                  4

                                                                                                                                                  Valitse klusterin nimi oikeanpuoleisen Yleiskatsaus-paneelin Klusterin asetukset -kohdasta.

                                                                                                                                                  5

                                                                                                                                                  Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke.

                                                                                                                                                  Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone.

                                                                                                                                                  Solmun kokoonpanon muuttaminen

                                                                                                                                                  Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:
                                                                                                                                                  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

                                                                                                                                                    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

                                                                                                                                                  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

                                                                                                                                                    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

                                                                                                                                                  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

                                                                                                                                                  Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

                                                                                                                                                  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa solmujen ISO-tiedoston korvaamiseen asteittain.

                                                                                                                                                  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

                                                                                                                                                  Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

                                                                                                                                                  Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

                                                                                                                                                    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

                                                                                                                                                    Kuvaus

                                                                                                                                                    Muuttuja

                                                                                                                                                    HTTP-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin ilman todennusta

                                                                                                                                                    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

                                                                                                                                                    HTTP-välityspalvelin todennuksen kanssa

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                    HTTPS-välityspalvelin todennuksella

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

                                                                                                                                                  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

                                                                                                                                                  1

                                                                                                                                                  Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

                                                                                                                                                  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

                                                                                                                                                  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Kirjoita salasanakehotteeseen tämä hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Lataa uusin vakaa imago ympäristöllesi:

                                                                                                                                                    Tavallisissa ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-ympäristöissä:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

                                                                                                                                                  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

                                                                                                                                                    • Tavallisissa ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • FedRAMP-ympäristöissä ilman välityspalvelinta:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

                                                                                                                                                  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

                                                                                                                                                    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

                                                                                                                                                  7. Anna pyydettäessä Control Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

                                                                                                                                                  8. Tuo nykyinen kokoonpano ISO-tiedosto.

                                                                                                                                                  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

                                                                                                                                                    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

                                                                                                                                                  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

                                                                                                                                                  2

                                                                                                                                                  Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and Register More Nodes.

                                                                                                                                                  1. Asenna HDS-isännän OVA.

                                                                                                                                                  2. Määritä HDS VM.

                                                                                                                                                  3. Kiinnitä päivitetty kokoonpanotiedosto.

                                                                                                                                                  4. Rekisteröi uusi solmu Control Hubissa.

                                                                                                                                                  3

                                                                                                                                                  Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi konfiguraatiotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

                                                                                                                                                  1. Sammuta virtuaalikone.

                                                                                                                                                  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

                                                                                                                                                  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

                                                                                                                                                  4. Tarkista Kytke virta päälle.

                                                                                                                                                  5. Tallenna muutokset ja käynnistä virtuaalikone.

                                                                                                                                                  4

                                                                                                                                                  Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

                                                                                                                                                  Sammuta estetty ulkoinen DNS-resoluutiotila

                                                                                                                                                  Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

                                                                                                                                                  Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
                                                                                                                                                  1

                                                                                                                                                  Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), ), syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

                                                                                                                                                  2

                                                                                                                                                  Siirry osoitteeseen Overview (oletussivu).

                                                                                                                                                  Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

                                                                                                                                                  3

                                                                                                                                                  Siirry Trust Store & Proxy -sivulle.

                                                                                                                                                  4

                                                                                                                                                  Napsauta Tarkista välityspalvelinyhteys.

                                                                                                                                                  Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

                                                                                                                                                  Poista solmu

                                                                                                                                                  Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
                                                                                                                                                  1

                                                                                                                                                  Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

                                                                                                                                                  2

                                                                                                                                                  Poista solmu:

                                                                                                                                                  1. Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.

                                                                                                                                                  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

                                                                                                                                                  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

                                                                                                                                                  4. Napsauta Avaa solmujen luettelo.

                                                                                                                                                  5. Valitse Solmut-välilehdeltä solmu, jonka haluat poistaa.

                                                                                                                                                  6. Napsauta Toiminnot > Solmun poistaminen rekisteristä.

                                                                                                                                                  3

                                                                                                                                                  Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

                                                                                                                                                  Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

                                                                                                                                                  Katastrofista palautuminen varalla olevan datakeskuksen avulla

                                                                                                                                                  Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty hybriditietoturvan käyttäjäksi, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

                                                                                                                                                  Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

                                                                                                                                                  Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.

                                                                                                                                                  1

                                                                                                                                                  Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

                                                                                                                                                  2

                                                                                                                                                  Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

                                                                                                                                                  3

                                                                                                                                                  Lisää Advanced Settings -sivulla alla oleva määritys tai poista passiveMode -määritys, jotta solmusta tulee aktiivinen. Solmu voi käsitellä liikennettä, kun tämä on määritetty.

                                                                                                                                                   passiveMode: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

                                                                                                                                                  5

                                                                                                                                                  Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

                                                                                                                                                  6

                                                                                                                                                  Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

                                                                                                                                                  7

                                                                                                                                                  Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

                                                                                                                                                  Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

                                                                                                                                                  8

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

                                                                                                                                                  9

                                                                                                                                                  Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

                                                                                                                                                  Tarkista syslog-tulosteesta, että varalla olevan tietokeskuksen solmut eivät ole passiivisessa tilassa. "KMS configured in passive mode" ei pitäisi näkyä syslogeissa.

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Jos ensisijainen datakeskus muuttuu jälleen aktiiviseksi vikatilanteen jälkeen, aseta varalla oleva datakeskus jälleen passiiviseen tilaan noudattamalla kohdassa Setup Standby Data Center for Disaster Recovery kuvattuja vaiheita.

                                                                                                                                                  (Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

                                                                                                                                                  HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän sen jälkeen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

                                                                                                                                                  Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit purkaa ISO-levyn uudelleen tällä tavalla.

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

                                                                                                                                                  1

                                                                                                                                                  Sammuta yksi HDS-solmuistasi.

                                                                                                                                                  2

                                                                                                                                                  Valitse vCenter Server Appliance -laitteessa HDS-solmu.

                                                                                                                                                  3

                                                                                                                                                  Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

                                                                                                                                                  5

                                                                                                                                                  Toista tämä vuorotellen jokaiselle HDS-solmulle.

                                                                                                                                                  Vianmääritys hybridi tietoturva

                                                                                                                                                  Näytä hälytykset ja vianmääritys

                                                                                                                                                  Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

                                                                                                                                                  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

                                                                                                                                                  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

                                                                                                                                                    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

                                                                                                                                                    • Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

                                                                                                                                                  • Tilan nykyiset käyttäjät jatkavat menestyksekästä toimintaa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

                                                                                                                                                  On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

                                                                                                                                                  Hälytykset

                                                                                                                                                  Jos hybriditietoturva-asetuksissa on ongelmia, Control Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

                                                                                                                                                  Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

                                                                                                                                                  Hälytys

                                                                                                                                                  Toiminta

                                                                                                                                                  Paikallisen tietokannan käyttöhäiriö.

                                                                                                                                                  Tarkista tietokantavirheet tai lähiverkko-ongelmat.

                                                                                                                                                  Paikallisen tietokantayhteyden epäonnistuminen.

                                                                                                                                                  Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

                                                                                                                                                  Pilvipalvelun käyttöhäiriö.

                                                                                                                                                  Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

                                                                                                                                                  Pilvipalvelun rekisteröinnin uusiminen.

                                                                                                                                                  Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

                                                                                                                                                  Pilvipalvelun rekisteröinti lopetettu.

                                                                                                                                                  Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

                                                                                                                                                  Palvelua ei ole vielä aktivoitu.

                                                                                                                                                  Aktivoi kokeilu tai siirrä kokeilu tuotantoon.

                                                                                                                                                  Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

                                                                                                                                                  Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

                                                                                                                                                  Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

                                                                                                                                                  Pilvipalveluiden todennus epäonnistui.

                                                                                                                                                  Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

                                                                                                                                                  Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

                                                                                                                                                  Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

                                                                                                                                                  Paikallisen palvelimen varmenne on virheellinen.

                                                                                                                                                  Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

                                                                                                                                                  Ei pysty lähettämään mittareita.

                                                                                                                                                  Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

                                                                                                                                                  /media/configdrive/hds-hakemistoa ei ole olemassa.

                                                                                                                                                  Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

                                                                                                                                                  Vianmääritys hybridi tietoturva

                                                                                                                                                  Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
                                                                                                                                                  1

                                                                                                                                                  Tarkista Control Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet.

                                                                                                                                                  2

                                                                                                                                                  Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta.

                                                                                                                                                  3

                                                                                                                                                  Ota yhteyttä Ciscon tukeen.

                                                                                                                                                  Muut huomautukset

                                                                                                                                                  Hybriditietoturvan tunnetut ongelmat

                                                                                                                                                  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Control Hubista tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Tämä koskee sekä kokeilu- että tuotantokäyttöä. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

                                                                                                                                                  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee hybriditietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes sen kesto päättyy. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja palata Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

                                                                                                                                                    Sama tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin koekäyttäjät, joilla on olemassa olevat ECDH-yhteydet aiempiin tietoturvapalveluihin, käyttävät näitä palveluja edelleen, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja uudelleen sisään).

                                                                                                                                                  Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

                                                                                                                                                  Ennen kuin aloitat

                                                                                                                                                  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

                                                                                                                                                  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

                                                                                                                                                  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

                                                                                                                                                  • Luo yksityinen avain.

                                                                                                                                                  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

                                                                                                                                                  1

                                                                                                                                                  Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Näytä varmenne tekstinä ja tarkista tiedot.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Luo .p12-tiedosto, jonka nimi on kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Tarkista palvelimen varmenteen tiedot.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

                                                                                                                                                    Esimerkki:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Mitä tehdä seuraavaksi

                                                                                                                                                  Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

                                                                                                                                                  Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

                                                                                                                                                  HDS-solmujen ja pilvipalvelun välinen liikenne

                                                                                                                                                  Lähtevien mittareiden keräysliikenne

                                                                                                                                                  Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

                                                                                                                                                  Saapuva liikenne

                                                                                                                                                  Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

                                                                                                                                                  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

                                                                                                                                                  • Solmuohjelmiston päivitykset

                                                                                                                                                  Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

                                                                                                                                                  Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

                                                                                                                                                  HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

                                                                                                                                                  Kalmarit 4 ja 5

                                                                                                                                                  Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

                                                                                                                                                  on_unsupported_protocol tunneli kaikki

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Oliko tästä artikkelista apua?
                                                                                                                                                  Oliko tästä artikkelista apua?