Käyttöönotto-opas Webex Hybrid Data Security

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.

Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.

Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Määritä Hybrid Data Security VM

Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Pöytä 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uudet ja muuttuneet tiedot

Päiväys

Tehdyt muutokset

20. lokakuuta 2023

Päivitetyt tiedot osoitteessa Tietokantapalvelimen vaatimukset.
Lisätty osoitteeseen Standby-datakeskuksen määrittäminen katastrofien palautusta varten.
Päivitetyt tiedot osoitteissa Standby Data Center for Disaster Recovery ja Disaster Recovery using Standby Data Center.

elokuu 07, 2023

Lisätty huomautus kohtaan Lataa asennustiedostot.
Lisätty huomautus osoitteisiin Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota.

23. toukokuuta 2023

Poistetut tiedot osoitteesta Tietokantapalvelimen vaatimukset Ominaisuuden käyttöönoton pyytäminen ottamalla yhteyttä tilitiimiin.
Päivitetty tietoja osoitteessa External connectivity requirements ja lisätty Kanada CI hosts -taulukkoon.
Lisätty huomautus osoitteeseen Expectations for Deploying Hybrid Data Security koskien mekanismien käyttämättömyyttä avainten siirtämiseksi takaisin pilveen.

joulukuu 06, 2022

HDS Setup Tool -kuvia säilytetään nyt osoitteessa ciscocitg dockerhub-arkistossa.
Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen -aiheet komentojen muutosten mukaisiksi.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset -aiheeseen tämän todennustilan lisävaatimukset.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja menettelytapa Windows-todennuksen määrittämiseksi solmuihin.
Päivitetty Tietokantapalvelimen vaatimukset -aiheeseen uudet vaaditut vähimmäisversiot (PostgreSQL 10).

lokakuu 13, 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomaa, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja osoitteesta Käytä OpenSSL:ää PKCS12-tiedoston luomiseen .

huhtikuu 30, 2021

Muutettiin VM:n vaatimus paikallisen kiintolevytilan osalta 30 Gt:ksi. Katso lisätietoja osoitteesta Virtual Host Requirements .

helmikuu 24, 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Lisätietoja on osoitteessa Create a Configuration ISO for the HDS Hosts .

helmikuu 2, 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

tammikuu 11, 2021

Lisätty tietoa HDS Setup -työkalusta ja välityspalvelimista osoitteeseen Create a Configuration ISO for the HDS Hosts.

lokakuu 13, 2020

Päivitetty Lataa asennustiedostot.

lokakuu 8, 2020

Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota FedRAMP-ympäristöjen komennoilla.

elokuu 14, 2020

Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen kirjautumisprosessiin tehdyillä muutoksilla.

5. elokuuta 2020

Päivitetty Test Your Hybrid Data Security Deployment lokiviestien muutosten osalta.

Päivitetty Virtual Host Requirements poistamalla isäntien enimmäismäärä.

kesäkuu 16, 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutosten vuoksi.

kesäkuu 4, 2020

Päivitetty Create a Configuration ISO for the HDS Hosts mahdollisten lisäasetusten muutosten vuoksi.

toukokuu 29, 2020

Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen kanssa, käyttöliittymämuutoksia ja muita selvennyksiä.

toukokuu 5, 2020

Päivitetty Virtual Host Requirements näyttämään ESXi 6.5:n uudet vaatimukset.

huhtikuu 21, 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusilla Americas CI -isännillä.

huhtikuu 1, 2020

Päivitetty Ulkoisen yhteyden vaatimukset alueellisia CI-isäntiä koskevilla tiedoilla.

helmikuu 20, 2020 Päivitetty Create a Configuration ISO for the HDS Hosts ja lisätty tietoja HDS Setup Toolin uudesta valinnaisesta Advanced Settings -näytöstä.

helmikuu 4, 2020 Päivitetty Välityspalvelinvaatimukset.

joulukuu 16, 2019 Selkeytetty vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii osoitteessa Proxy Server Requirements.

19. marraskuuta 2019

Seuraaviin osioihin on lisätty tietoa estetystä ulkoisesta DNS-resoluutiotilasta:

Proxy-tuki
HDS-solmun määrittäminen välityspalvelimen integrointia varten
Sammuta estetty ulkoinen DNS-resoluutiotila

marraskuu 8, 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä vasta sen jälkeen.

Päivitetty seuraavat kohdat vastaavasti:

Hybriditietoturvan käyttöönoton tehtävävirta
Asenna HDS Host OVA
Hybriditietoturva VM:n määrittäminen

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

Lisätty SQL Server Standard osoitteeseen Tietokantapalvelinvaatimukset.

elokuu 29, 2019 Lisätty Configure Squid Proxies for Hybrid Data Security -liite, jossa on ohjeita Squid-välityspalvelimien määrittämisestä niin, että ne eivät huomioi websocket-liikennettä, jotta ne toimisivat oikein.

elokuu 20, 2019

Lisätty ja päivitetty osioita, jotka kattavat hybriditietoturvasolmujen välitystuen Webex-pilvipalvelimille.

Proxy-tuki
Välityspalvelimen vaatimukset
HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välitystuen sisältöä, katso Proxy Support for Hybrid Data Security and Webex Video Mesh -ohjeartikkeli.

kesäkuu 13, 2019 Päivitetty Trial to Production Task Flow muistutuksella synkronoida HdsTrialGroup -ryhmäobjekti ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.

maaliskuu 6, 2019

Siirretty vaatimukset ja ennakkoedellytykset erilliseen lukuun, Valmistele ympäristö.
Lisätty Hybriditietoturvan käyttöönoton tehtävävirta yleiskatsaus lukuun Hybriditietoturvaklusterin perustaminen.

Huomaa, että ennen kuin käynnistät kokeilun (seuraavan luvun ohjeiden mukaisesti) solmusi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.
Lisätty Trial to Production Task Flow lukuun Run a Trial and Move to Production.

helmikuu 28, 2019

Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrää, joka sinun tulisi varata valmistellessasi virtuaalisia isäntiä, joista tulee hybridi tietoturvasolmuja, 50 Gt:stä 20 Gt:iin, jotta se vastaa OVA:n luomaa levyn kokoa.

helmikuu 26, 2019

Hybriditietoturvasolmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja kirjausyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Create a Configuration ISO for the HDS Hosts ohjeineen.
Poistettiin kohde-URL-osoitteet taulukosta "Hybriditietoturvasolmujen VM:ien Internet-yhteysvaatimukset". Taulukko viittaa nyt luetteloon, jota ylläpidetään "Additional URLs for Webex Teams Hybrid Services" -taulukossa osoitteessa Network Requirements for Webex Teams Services.

tammikuu 24, 2019

Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Serverin Always On (Always On Failover Clusters ja Always On Availability Groups) on tuettu JDBC-ajureilla, joita käytetään Hybrid Data Security -ohjelmassa. Lisätty sisältöä, joka liittyy käyttöönottoon SQL Serverin kanssa.

Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käytössä.

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien docker hds -instanssien siivoamiseksi osoitteessa Luo konfiguraatio-ISO HDS-isäntäasemille ja Muuta solmujen konfiguraatiota.
Päivitettiin avaimen käyttöoikeustaso vaiheessa Create a Configuration ISO for the HDS Hosts vastaamaan käyttöliittymää.

lokakuu 19, 2018

Jaa palomuuriyhteystiedot solmujen vaatimuksiin ja ISO-konfiguraatiokoneen vaatimuksiin osoitteessa . Täytä Hybriditietoturvan edellytykset.

heinäkuu 31, 2018

Lisätty portti 22 (SSH-yhteys) ja tietoja NAT- ja palomuuriyhteyksistä osoitteeseen Complete the Prerequisites for Hybrid Data Security.

toukokuu 21, 2018

Muutettu terminologiaa vastaamaan Cisco Sparkin brändinmuutosta:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

huhtikuu 11, 2018

Lisätty Standby Data Center for Disaster Recovery.
Päivitetty Täydennä Hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön on sijaittava eri datakeskuksessa.
Päivitetty Disaster Recovery käyttäen varalla olevaa datakeskusta.

helmikuu 22, 2018

Lisätty tietoja palvelutilien salasanojen 9 kuukauden käyttöajasta ja HDS Setup -työkalun käyttämisestä palvelutilien salasanojen nollaamiseen, kohdissa Create a Configuration ISO for the HDS Hosts ja Change the Node Configuration.

helmikuu 15, 2018

Määritä X.509 Certificate Requirements -taulukossa, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään x.509v3 SAN-kenttiin määritettyä toimialuetta.

tammikuu 18, 2018

Lisätty liite, Liikenne HDS-solmujen ja Cloudin välillä.
Poistettiin ratkaistu ongelma osoitteesta Known Issues for Hybrid Data Security.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon osoitteessa . Täydennä Hybriditietoturvan edellytykset.
Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-ratkaisukelpoisia HDS-solmuista, ne on määritettävä IP-osoitteiden avulla.

marraskuu 2, 2017

HdsTrialGroupin hakemistosynkronointia on selkeytetty.
Korjattu ohjeet ISO-kokoonpanotiedoston lataamisesta VM-solmujen asennusta varten.

elokuu 18, 2017

Julkaistu ensimmäisen kerran

Aloita hybridi-tietoturva

Yleiskatsaus hybriditietojen tietoturvaan

Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

***Erillisalueet (ilman hybriditietoturvaa)***

Jotta hybriditietoturvaa voitaisiin ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.
Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.
Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää asiakkaan merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavainten omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Turvallinen datakeskus maassa, joka on tuettu sijainti Cisco Webex Teams -suunnitelmille.
Laitteet, ohjelmistot ja verkkoyhteydet, jotka on kuvattu osoitteessa Prepare Your Environment.

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.
Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:

Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.
Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.
Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja niitä voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Tuemme vain yhtä klusteria per organisaatio.

Hybriditietoturvan kokeilutila

Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.

Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".

Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopioita klusterin hybriditietoturvasolmujen osalta.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa. — ***Manuaalinen viansiirto valmiustietokeskukseen***

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Aseta varalla oleva datakeskus katastrofihyötykäyttöä varten

Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:

Ennen kuin aloitat

Varatietokeskuksen tulisi peilata VM:ien tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokannan varmuuskopiota. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. (Yleiskatsaus tähän vikasietoisuuteen on osoitteessa Standby Data Center for Disaster Recovery .)
Varmista, että tietokannan synkronointi on käytössä aktiivisen ja passiivisen klusterin solmujen tietokantojen välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset on tarkoitus tehdä.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.

 passiveMode: 'true'

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Tarkista syslogien avulla, että solmut ovat passiivisessa tilassa. Syslogeissa pitäisi näkyä viesti "KMS configured in passive mode".

Mitä tehdä seuraavaksi

Kun olet määrittänyt passiveMode ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode -määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode , voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Yksityiskohtainen vikasietoinen vikasietoisuusmenettely on osoitteessa Disaster Recovery using Standby Data Center .

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä ja ei-tarkistavia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.
Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:
1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.
2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.
3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:
  - HTTP-näkyy ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.
4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:
  - Ei ole- Muita todennuksia ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
  - Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
    
    Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.
    
    Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.
    
    Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvän tarkastuksen ja HTTPS:n nimenomaisen tarkastuksen välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Valmistele ympäristösi

Hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten
Vaatimus	Tiedot
Luotettavan varmentajan (CA) allekirjoittama.	Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.
Karhut Common Name (CN) -verkkotunnus, joka yksilöi Hybrid Data Security -käyttöönoton. Ei ole jokerimerkkivarmenne	CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä.
Muu kuin SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.
Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi. Käytä ystävällistä nimeä `kms-private-key` merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.	Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen. Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.

Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.
HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.
HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).
Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus	Protokolla	Portti	Suunta sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset
HDS-asennustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yleiset identiteetin isäntä-URL-osoitteet
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelimen vaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

Eksplisiittinen proxy-Squid.

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP:llä tai HTTPS:llä
- Digest-todennus vain HTTPS:n kanssa
Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-yksiselitteisen välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.
HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).
Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:
- isännän nimi tai IP-osoite (host) ja portti.
- tietokannan nimi (dbname), johon avaimet tallennetaan.
- sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjät. Kokeiluryhmässä voi olla enintään 250 käyttäjää. HdsTrialGroup -objekti on synkronoitava pilvipalveluun, ennen kuin voit aloittaa organisaatiosi kokeilun. Jos haluat synkronoida ryhmäkohteen, valitse se Directory Connectorin Configuration > Object Selection -valikossa. (Yksityiskohtaiset ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.)

Avaimet tietylle tilalle asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Häviö näkyy heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

Luo konfigurointi-ISO HDS-isäntäkoneille.

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

Hybriditietoturva VM:n määrittäminen

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luomastasi ISO-kokoonpanotiedostosta.

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava luku).

Kunnes aloitat kokeilun, solmupisteesi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Set up.

Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioon. Anna heille tilinumerosi ja pyydä ottamaan organisaatiosi käyttöön Hybrid Data Security. Löydät tilinumeron napsauttamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.

Voit myös ladata OVA:n milloin tahansa Help -osiosta Settings -sivulla. Avaa sivu Hybrid Data Security -kortilla napsauttamalla Muokkaa asetuksia . Napsauta sitten Lataa Hybrid Data Security -ohjelmisto kohdassa Ohje .

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Voit myös valita Avaa käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat

HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI`
HTTP-välityspalvelin todennuksen kanssa	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI`

Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:
- Tietokannan tunnistetiedot
- Todistuksen päivitykset
- Muutokset valtuutuskäytäntöön
Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita Control Hubin asiakkaan admin-käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakkaan järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

Napsauta Setup Tool -katsaussivulla Get Started.

ISO Import -sivulla on seuraavat vaihtoehdot:

Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
Jos varmenne on OK, valitse Jatka.
Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.
(Vain Microsoft SQL Server ) Valitse Todennustyyppi:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .
Kirjoita tietokantapalvelimen osoite muodossa : tai :.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.
Kirjoita tietokannan nimi.
Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

Kirjoita syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.
Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.
- Nollatavu -- \x00
- Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.
Napsauta Jatka.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

Napsauta Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

Valitse File > Deploy OVF Template.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Next.

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

Määritä seuraavat verkkoasetukset sivulla Mukauta mallia :

Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.
Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.
FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1	Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti. VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2	Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .
4	Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi. Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.
Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).
Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.
Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.
Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.
Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

Kiinnitä ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.
Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .
Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa sijaintiin, johon olet ladannut kokoonpanon ISO-tiedoston.
Tarkista Kytketty ja Kytke virta päälle.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

Katso yleiskatsaus tuetuista välityspalvelinvaihtoehdoista osoitteesta Proxy Support .
Välityspalvelimen vaatimukset

1	Kirjoita HDS-solmun asetusten URL-osoite `https://[HDS-solmun IP- tai FQDN]/setup` verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto: Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita. Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS). Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä: Ei ole- Muita todennuksia ei tarvita. Käytettävissä HTTP- tai HTTPS-välityspalvelimille. Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Käytettävissä HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana. Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli. Käytettävissä vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana. Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.
3	Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection . Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.
5	Kun yhteystesti on läpäissyt, kytke vain https:n välityspalvelimeksi asetetun eksplisiittisen välityspalvelimen kytkin päälle, jotta reitittää kaikki porttien 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimen kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.
6	Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen asennus) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen asennus), lue kehote ja napsauta sitten Asenna , jos olet valmis. Solmu käynnistyy uudelleen muutamassa minuutissa.
7	Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1	Kirjaudu sisään osoitteessa https://admin.webex.com.
2	Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybrid Data Security ja napsauta Set up. Näyttöön tulee Register Hybrid Data Security Node -sivu.
4	Valitse Kyllä osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään sen klusterin nimi, johon haluat määrittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".
6	Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen. Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7	Napsauta Go to Node.
8	Napsauta varoitusviestissä Jatka . Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.
9	Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue. Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Hybrid Data Security -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisäsolmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Tällä hetkellä varmuuskopio-VM:t, jotka luot osoitteessa Complete the Prerequisites for Hybrid Data Security , ovat valmiusisäntiä, joita käytetään vain katastrofista toipumisen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on osoitteessa Disaster Recovery using Standby Data Center.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.
2	Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.
3	Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.
4	Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturva-kortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Napsauta Add Resource. Valitse ensimmäiseen kenttään olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next. Näyttöön tulee viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Napsauta Go to Node. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue. Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava luku).

Suorita kokeilu ja siirry tuotantoon

Kokeilusta tuotantoon tehtävänkulku

Kun olet perustanut Hybrid Data Security -klusterin, voit aloittaa pilottihankkeen, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen tuotantoon siirtymistä varten.

Ennen kuin aloitat

Hybriditietoturvaklusterin perustaminen

1	Synkronoi tarvittaessa `HdsTrialGroup` -ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.
2	Aktivoi Trial Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvan käyttöönottoa Tarkista, että keskeiset pyynnöt kulkevat Hybrid Data Security -käyttöönottoon.
4	Hybriditietojen tietoturvan tilan seuranta Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeilusta
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirtyminen kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi Trial

Ennen kuin aloitat

Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup -ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa organisaatiosi kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.

1	Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa Asetukset.
3	Valitse Palvelun tila -osiossa Käynnistä kokeilu. Palvelun tila muuttuu kokeilutilaan.
4	Napsauta Add Users ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla Hybrid Data Security -solmujen käyttöä salaus- ja indeksointipalveluihin. (Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directoryta kokeiluryhmän hallintaan, `HdsTrialGroup`.)

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata hybriditietoturvan salausskenaarioita.

Ennen kuin aloitat

Määritä hybriditietoturvan käyttöönotto.
Aktivoi kokeiluversio ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Jos poistat Hybrid Data Security -käyttöönoton käytöstä, pilottikäyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeiset kopiot on korvattu.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää seuraava merkintä:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää seuraava merkintä:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

Sinun pitäisi löytää seuraava merkintä:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.

1	Valitse Control Hubissa näytön vasemmassa reunassa olevasta valikosta Palvelut .
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Lisää tai poista käyttäjiä kokeilusta

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjät, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilujakson ollessa aktiivinen.

Jos poistat käyttäjän kokeilusta, käyttäjän asiakas pyytää avaimia ja avainten luomista pilvipalvelun KMS:stä oman KMS:n sijasta. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS-järjestelmään, pilvi-KMS hakee sen käyttäjän puolesta.

Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijasta) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa heitä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa Asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiä tai poista käyttäjät kokeilusta napsauttamalla Näytä ja muokkaa .
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeilusta napsauttamalla käyttäjätunnuksen vieressä olevaa X . Napsauta sitten Tallenna.

Siirtyminen kokeilusta tuotantoon

Kun olet tyytyväinen siihen, että käyttöönotto toimii hyvin kokeilukäyttäjien kannalta, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvakentän palveluihin. Et voi siirtyä takaisin kokeilutilaan tuotantotilasta, ellet poista palvelua käytöstä osana palautusta. Palvelun aktivoiminen uudelleen edellyttää uuden kokeilujakson määrittämistä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa Asetukset.
3	Valitse Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

Jos päätät kokeilun aikana, ettet jatka Hybrid Data Securityn käyttöönottoa, voit poistaa Hybrid Data Securityn käytöstä, jolloin kokeilu päättyy ja kokeilukäyttäjät siirtyvät takaisin pilvipalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeilun aikana salattuihin tietoihin.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa Asetukset.
3	Napsauta Deaktivoi-osiossa Deaktivoi.
4	Vahvista, että haluat poistaa palvelun käytöstä ja lopettaa kokeilujakson.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1	Kirjaudu sisään Control Hubiin.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdasta Hybrid Data Security.
3	Valitse klusteri Hybriditietoturvaresurssit-sivulla.
4	Valitse klusterin nimi oikeanpuoleisen Yleiskatsaus-paneelin Klusterin asetukset -kohdasta.
5	Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke. Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaoloaika lähestyy, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.
Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI`
HTTP-välityspalvelin todennuksen kanssa	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI`
HTTPS-välityspalvelin todennuksen kanssa	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI`

Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa ympäristösi uusin vakaa image:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .
Tuo nykyinen kokoonpano ISO-tiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and Register More Nodes.

Asenna HDS-isännän OVA.
Määritä HDS VM.
Kiinnitä päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.
Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.
Tarkista Kytke virta päälle.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.
2	Siirry osoitteeseen Overview (oletussivu). Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.
3	Siirry Trust Store & Proxy -sivulle.
4	Napsauta Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.
Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.
Napsauta Avaa solmujen luettelo.
Valitse Solmut-välilehdeltä solmu, jonka haluat poistaa.
Napsauta Toiminnot > Solmun poistaminen rekisteristä.

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

Lisää Advanced Settings -sivulla alla oleva määritys tai poista passiveMode -määritys, jotta solmusta tulee aktiivinen. Solmu voi käsitellä liikennettä, kun tämä on määritetty.

 passiveMode: 'false'

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Tarkista syslog-tulosteesta, että varalla olevan tietokeskuksen solmut eivät ole passiivisessa tilassa. "KMS configured in passive mode" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus muuttuu jälleen aktiiviseksi vikatilanteen jälkeen, aseta varalla oleva datakeskus jälleen passiiviseen tilaan noudattamalla kohdassa Setup Standby Data Center for Disaster Recovery kuvattuja vaiheita.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liittämisen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet kokoonpanomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sammuta yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliance -laitteessa HDS-solmu.
3	Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.
4	Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.
5	Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).
Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:
- Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).
- Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).
Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palvelukatkokset.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Control Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet
Hälytys	Toiminta
Paikallisen tietokannan käyttöhäiriö.	Tarkista tietokantavirheet tai lähiverkko-ongelmat.
Paikallisen tietokantayhteyden epäonnistuminen.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.
Pilvipalvelun käyttöhäiriö.	Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.
Pilvipalvelun rekisteröinnin uusiminen.	Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti lopetettu.	Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai siirrä kokeilu tuotantoon.
Määritetty verkkotunnus ei vastaa palvelimen varmennetta.	Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta. Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.
Pilvipalveluiden todennus epäonnistui.	Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.
Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.
Ei pysty lähettämään mittareita.	Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.

1	Tarkista Control Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet.
2	Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta.
3	Ota yhteyttä Ciscon tukeen.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Control Hubista tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Tämä koskee sekä kokeilu- että tuotantokäyttöä. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee hybriditietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes sen kesto päättyy. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja palata Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin koekäyttäjät, joilla on olemassa olevat ECDH-yhteydet aiempiin tietoturvapalveluihin, käyttävät näitä palveluja edelleen, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja uudelleen sisään).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.
Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1	Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa: `-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto, jonka nimi on `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet: Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.
Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Esipuhe

Uudet ja muuttuneet tiedot

Päiväys

Tehdyt muutokset

lokakuu 20, 2023

Päivitetty tiedot kohdassa Tietokantapalvelimen vaatimukset.
Lisätty valmiustilan datakeskus järjestelmäpalautustavarten.
Päivitetty tiedot Standby Data Center for Disaster Recovery and Disaster Recovery -keskuksessa Standby Data Centerinavulla.

Elokuu 07, 2023

Lisätty huomautus kohtaan Lataa asennustiedostot.
Lisätty huomautus kohtaan Luo määrityksen ISO HDS-isännille ja Muuta solmun määritystä.

touko 23, 2023

Tietokantapalvelimen vaatimuksista poistettiin tiedot , joissa pyydettiin ominaisuuden käyttöönottoa ottamalla yhteyttä tilitiimiin.
Päivitetty tiedot kohdassa Ulkoisten yhteyksien vaatimukset ja lisätty Kanada CI-isännät-taulukkoon.
Hybriditietoturvan käyttöönottoa koskeviin odotuksiin on lisätty huomautus , jonka mukaan mekanismit avainten siirtämiseksi takaisin pilveen eivät ole käytettävissä.

Joulukuu 06, 2022

HDS Setup Tool -kuvia isännöidään nyt ciscocitg DockerHub-arkisto.
Päivitetty Luo määrityksen ISO HDS-isännille ja Solmun määritys -ohjeaiheiden muuttaminen vastaamaan komentojen muutoksia.

marraskuu 23, 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Tietokantapalvelimen vaatimukset -ohjeaiheeseen on lisätty tämän todennustilan lisävaatimuksia.

Päivitetty Luo määritys-ISO HDS-isännille ja ohjeet Windows-todennuksen määrittämiseen solmuissa.
Tietokantapalvelimen vaatimukset -ohjeaihe päivitettiin uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

lokakuu 13, 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Dockerin työpöytävaatimukset.

kesäkuu 24, 2021

Huomaa, että voit käyttää yksityistä avaintiedostoa ja CSR: ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja kohdasta OpenSSL:n käyttäminen PKCS12-tiedoston luomiseen.

huhtikuu 30, 2021

Paikallisen kiintolevytilan virtuaalikonevaatimus muutettiin 30 gigatavuun. Katso lisätietoja virtuaalisen isännän vaatimuksista .

helmikuu 24, 2021

HDS Setup Tool voidaan nyt suorittaa välityspalvelimen takana. Katso lisätietoja kohdasta Määritä ISO HDS-isännille .

helmikuu 2, 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen.

tammikuu 11, 2021

Lisätty tietoja HDS-asetustyökalusta ja välityspalvelimista, joiden avulla voit luoda määrityksen ISO:n HDS-isännille.

lokakuu 13, 2020

Päivitetyt latausasennustiedostot.

lokakuu 8, 2020

Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä FedRAMP-ympäristöjen komennoilla.

Elokuu 14, 2020

Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä kirjautumisprosessin muutoksilla.

Elokuu 5, 2020

Päivitetty Testaa hybriditietoturvan käyttöönotto lokiviesteissä tapahtuvien muutosten varalta.

Päivitetyt virtuaalisen isännän vaatimukset isäntien enimmäismäärän poistamiseksi.

kesäkuu 16, 2020

Päivitetty Poista solmu ohjauskeskuksen käyttöliittymän muutosten vuoksi.

kesäkuu 4, 2020

Päivitetty Luo määrityksen ISO HDS-isännille mahdollisesti määrittämiesi lisäasetusten muutoksia varten.

Voi 29, 2020

Päivitetty Luo määrityksen ISO HDS-isännille osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennysten kanssa.

Voi 5, 2020

Päivitetyt virtuaalisen isännän vaatimukset ESXi 6.5: n uuden vaatimuksen näyttämiseksi.

huhtikuu 21, 2020

Päivitetyt ulkoisten yhteyksien vaatimukset uusien Americas CI -isäntien kanssa.

huhtikuu 1, 2020

Päivitetyt ulkoisten yhteyksien vaatimukset , jotka sisältävät tietoja alueellisista CI-isännistä.

helmikuu 20, 2020 Päivitetty Luo määritys-ISO HDS-isännille tiedoilla HDS-asennustyökalun uudesta valinnaisesta Lisäasetukset-näytöstä.

helmikuu 4, 2020 Päivitetyt välityspalvelinvaatimukset.

joulukuu 16, 2019 Selvennetty vaatimusta, jonka mukaan estetyn ulkoisen DNS-selvitystilan on toimittava välityspalvelimen vaatimuksissa .

marraskuu 19, 2019

Lisätty tietoja estetystä ulkoisesta DNS-selvitystilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelimen integrointia varten
Poista estetty ulkoinen DNS-selvitystila käytöstä

marraskuu 8, 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä jälkikäteen.

Seuraavat osiot päivitettiin vastaavasti:

Hybriditietoturvan käyttöönoton tehtävänkulku
HDS-isännän OVA:n asentaminen
Hybrid Data Security VM:n määrittäminen

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

syyskuu 6, 2019

Lisätty SQL Server Standard tietokantapalvelinvaatimuksiin .

elokuu 29, 2019 Lisätty Määritä kalmarien välityspalvelimet hybriditietoturvaa varten -liite, jossa on ohjeita Kalmari-välityspalvelinten määrittämiseen ohittamaan verkkopistokeliikenne asianmukaisen toiminnan varmistamiseksi.

elokuu 20, 2019

Lisätty ja päivitetty osioita, jotka kattavat välityspalvelimen tuen hybriditietoturvasolmujen viestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelimen vaatimukset
Määritä HDS-solmu välityspalvelimen integrointia varten

Jos haluat käyttää vain aiemmin luodun käyttöönoton välityspalvelimen tukisisältöä, tutustu Välityspalvelimen tuki hybriditietoturvaan ja Webex Video Mesh -ohjeartikkeliin.

kesäkuu 13, 2019 Päivitetty kokeiluversiosta tuotantoon -tehtävänkulku ja muistutus synkronoida HdsTrialGroup Ryhmittele objekti ennen kokeiluversion aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.

maaliskuu 6, 2019

Vaatimukset ja edellytykset on siirretty erilliseen lukuun Ympäristön valmisteleminen.
Lisätty hybriditietoturvan käyttöönoton tehtävänkulun yleiskatsaus lukuun Hybrid Data Security Clusterinmäärittäminen.

Huomaa, että kunnes aloitat kokeilun (seuraavan luvun ohjeiden mukaisesti), solmusi luovat hälytyksen, joka osoittaa, että palvelusi ei ole vielä aktivoitu.
Lisätty kokeiluversio tuotantotehtävän työnkulkuun luvussa Kokeiluversion suorittaminen ja siirtyminen tuotantoon.

helmikuu 28, 2019

Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrä, joka tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 gigatavusta 20 gigatavuun, vastaamaan OVA:n luoman levyn kokoa.

helmikuu 26, 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo määritys-ISO HDS-isännille ohjeineen.
Kohde-URL-osoitteet poistettu "Internet Connectivity Requirements for Hybrid Data Security Node VMS" -taulukosta. Taulukko viittaa nyt Webex Teams -palveluidenverkkovaatimusten "Webex Teams -hybridipalveluiden lisä-URL-osoitteet" -taulukossa ylläpidettyyn luetteloon.

tammikuu 24, 2019

Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. Hybrid Data Securityssä käytettävät JDBC-ohjaimet tukevat SQL Server Always On (Always On Failover Clusters ja Always on Availability Groups) -toimintoa. Lisätty SQL Serverin käyttöönottoon liittyvää sisältöä.

Microsoft SQL Server -tuki on tarkoitettu vain uusille yhdistelmätietoturvan käyttöönotoille. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käyttöönotossa.

marraskuu 5, 2018

Lisätty alustava vaihe olemassa olevien docker hds -esiintymien puhdistamiseksi kohdassa Luo määrityksen ISO HDS-isännille ja Muuta solmun määritystä.
Päivitetty avaimen käyttöoikeustason vaihe kohdassa Luo määrityksen ISO HDS-isännille vastaamaan käyttöliittymää.

lokakuu 19, 2018

Jaa palomuurin yhteystiedot solmuvaatimuksiin ja ISO-määrityskoneen vaatimuksiin kohdassa Täytä hybriditietoturvanedellytykset.

heinäkuu 31, 2018

Lisätty portti 22 (SSH-yhteys) ja tietoja NAT- ja palomuuriyhteyksistä yhdistelmätietoturvanedellytysten täydentämiseksi .

21. toukokuuta 2018

Terminologiaa muutettu vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt hybriditietoturva.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

huhtikuu 11, 2018

Lisätty valmiustilan datakeskus järjestelmäpalautustavarten.
Päivitetty Täydennä hybriditietoturvan edellytykset määrittämään, että varmuuskopiointiympäristön tulee olla eri palvelinkeskuksessa.
Päivitetty järjestelmäpalautus valmiustilassa olevan palvelinkeskuksenavulla.

helmikuu 22, 2018

Lisätty tietoja palvelutilin salasanan 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen ohjeaiheissa Luo määrityksen ISO HDS-isännille ja Muuta solmun määritystä.

helmikuu 15, 2018

X.509 Certificate Requirements (X.509-varmennevaatimukset ) -taulukossa täsmennettiin, että varmenne ei voi olla yleisvarmenne ja että KMS käyttää CN-toimialuetta, ei mitään x.509v3 SAN -kentissä määritettyä toimialuetta.

tammikuu 18, 2018

Lisätty liite, HDS-solmujen ja pilvenvälinen liikenne.
Korjattu ongelma poistettiin yhdistelmätietoturvantunnetuista ongelmista.
Muutettu index.docker.io muotoon *.docker.io ja lisätty *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon kohdassa Complete the Prerequisites for Hybrid Data Security.
Päivitetty Luo määrityksen ISO HDS-isännille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-ratkaistavissa HDS-solmuista, ne on määritettävä IP-osoitteiden avulla.

marraskuu 2, 2017

Parannettu HdsTrialGroupin hakemistosynkronointia.
Korjattu ohjeet ISO-määritystiedoston lataamiseksi VM-solmuihin asentamista varten.

elokuu 18, 2017

Ensimmäinen julkaisu

Aloita hybridi-tietoturva

Hybriditietoturvan yleiskatsaus

Ensimmäisestä päivästä lähtien tietoturva on ollut ensisijainen painopiste Webex-sovelluksen suunnittelussa. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistavat Webex App -asiakkaat, jotka ovat vuorovaikutuksessa avaintenhallintapalvelun (KMS) kanssa. KMS on vastuussa salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletuksena kaikki Webex App -asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu KMS-pilveen Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksesi datakeskukseen, joten kenelläkään muulla kuin sinulla ei ole salatun sisällön avaimia.

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiin maailmoihin tai luottamusalueisiin, kuten alla on kuvattu.

***Erillisyyden alueet (ilman hybriditietoturvaa)***

Hybriditietoturvan ymmärtämiseksi tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan yhdistää suoraan henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseensa, on loogisesti ja fyysisesti erillään palvelinkeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja joka on todennettu identiteettipalvelun kanssa. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet suoritetaan:

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH: tä, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaasta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön tulevien hakujen helpottamiseksi.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuuden tarkistamista varten.
Salattu viesti tallennetaan tallennusalueelle.

Kun otat yhdistelmäsuojauksen käyttöön, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen palvelinkeskukseen. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetin ja sisällön tallennus) pysyvät Ciscon alueilla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta yhteistyöhön muiden organisaatioiden ulkoisten osallistujien kanssa. Kun joku käyttäjistä pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun toinen organisaatio kuitenkin omistaa tilan avaimen, KMS reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta avaimen saamiseksi asianmukaiselta KMS:ltä ja palauttaa avaimen sitten alkuperäisen kanavan käyttäjälle.

Organisaatiossa A suoritettava KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin x.509 PKI-varmenteiden avulla. Katso kohdasta Ympäristön valmisteleminen lisätietoja x.509-varmenteen luomisesta käytettäväksi hybriditietoturvan käyttöönotossa.

Hybriditietoturvan käyttöönoton odotukset

Hybrid Data Securityn käyttöönotto edellyttää asiakkaiden merkittävää sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Jotta voit ottaa yhdistelmätietoturvan käyttöön, sinun on annettava seuraavat tiedot:

Turvallinen palvelinkeskus maassa, joka on Cisco Webex Teams -palvelupakettientuettu sijainti.
Laitteet, ohjelmistot ja verkkoyhteys, jotka on kuvattu kohdassa Ympäristösivalmisteleminen.

Yhdistelmätietoturvaa varten luomasi ISO-konfiguraation tai toimittamasi tietokannan täydellinen menettäminen johtaa avainten menettämiseen. Avaimen menetys estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex-sovelluksessa. Jos näin tapahtuu, voit luoda uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta et menettäisi pääsyä tietoihin, sinun on:

Hallitse tietokannan ja määrityksen ISO: n varmuuskopiointia ja palautusta.
Valmistaudu suorittamaan nopea katastrofipalautus, jos tapahtuu katastrofi, kuten tietokantalevyvika tai datakeskuksen katastrofi.

Ei ole mekanismia, jolla avaimet voidaan siirtää takaisin pilveen HDS-käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään hybriditietoturvan käyttöönoton määrittämistä ja hallintaa:

Määritä hybriditietoturva– Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja hybriditietoturvaohjelmiston asentaminen, käyttöönoton testaaminen osalla käyttäjistä kokeilutilassa ja siirtyminen tuotantoon, kun testaus on valmis. Tämä muuntaa koko organisaation käyttämään hybriditietoturvaklusteria suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti seuraavissa kolmessa luvussa.
Ylläpidä hybriditietoturvankäyttöönottoa – Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. IT-osastosi voi tarjota ensimmäisen tason tukea tähän käyttöönottoon ja käyttää Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Ohjauskeskuksessa.
Tietoja yleisistä hälytyksistä, vianmääritysvaiheista ja tunnetuista ongelmista– Jos kohtaat ongelmia yhdistelmätietoturvan käyttöönotossa tai käytössä, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybridi tietoturvan käyttöönottomalli

Yrityksen datakeskuksessa hybriditietoturva otetaan käyttöön yhtenä solmuklusterina erillisissä virtuaali-isännissä. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkopistokkeiden ja suojatun HTTP: n kautta.

Asennuksen aikana toimitamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteen toimittamiisi virtuaalikoneisiin. HDS Setup Tool -työkalun avulla voit luoda mukautetun klusterimäärityksen ISO-tiedoston, jonka liität kuhunkin solmuun. Hybrid Data Security -klusteri käyttää antamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Voit määrittää Syslogd- ja tietokantayhteyden tiedot HDS Setup Tool -työkalussa.)

Hybridi tietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja sinulla voi olla enintään viisi. Useat solmut varmistavat, että palvelu ei keskeydy solmun ohjelmistopäivityksen tai muun ylläpitotoiminnan aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietosäilöä ja kirjaavat toimintaa samaan järjestelmälokipalvelimeen. Solmut itse ovat tilattomia ja käsittelevät avainpyyntöjä round-robin-tyyliin pilven ohjeiden mukaisesti.

Solmut aktivoituvat, kun rekisteröit ne Ohjauskeskuksessa. Jos haluat poistaa yksittäisen solmun käytöstä, voit poistaa sen rekisteröinnin ja rekisteröidä sen myöhemmin tarvittaessa uudelleen.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybridi tietoturvan kokeilutila

Kun olet määrittänyt yhdistelmätietoturvakäyttöönoton, kokeilet sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista hybriditietoturvatoimialuetta salausavaimiin ja muihin suojausalueen palveluihin. Muut käyttäjät jatkavat pilven tietoturva-alueen käyttöä.

Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät "Tätä viestiä ei voi purkaa" Webex-sovelluksessa.

Jos olet vakuuttunut siitä, että käyttöönotto toimii hyvin kokeilukäyttäjille, ja olet valmis laajentamaan yhdistelmätietoturvan koskemaan kaikkia käyttäjiä, siirrä käyttöönotto tuotantoon. Pilottikäyttäjillä on edelleen käytössään kokeilujakson aikana käytössä olleet avaimet. Et kuitenkaan voi siirtyä tuotantotilan ja alkuperäisen kokeiluversion välillä. Jos sinun on poistettava palvelun aktivointi esimerkiksi järjestelmäpalautuksen suorittamiseksi, sinun on uudelleenaktivoinnin yhteydessä aloitettava uusi kokeiluversio ja määritettävä uuden kokeiluversion pilottikäyttäjäjoukko, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät tietojen käyttöoikeuden tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt klusterin Hybrid Data Security -solmujen tärkeimpien tietosäilöjen ja ISO-määritystiedoston varmuuskopioita.

Valmiustilan tietokeskus järjestelmäpalautusta varten

Käyttöönoton aikana määrität suojatun valmiustilassa olevan palvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit epäonnistua manuaalisesti valmiustilassa olevaan palvelinkeskukseen siirtymisessä.

Aktiivisten ja valmiustilassa olevien palvelinkeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisämäärityksillä, jotka varmistavat, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen valmiustilassa olevan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa palvelinkeskuksessa kuin aktiivinen tietokantapalvelin.

Valmiustilan datakeskuksen määrittäminen järjestelmäpalautusta varten

Määritä valmiustilan palvelinkeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulisi peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -varmuuskopiotietokantaa. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso yleiskatsaus tästä vikasietomallista kohdasta Standby Data Center for Disaster Recovery .)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa Määrityksen ISO:n luominen HDS-isännillemainittuja vaiheita.

ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Lisää Lisäasetukset-sivulla alla oleva määritys solmun asettamiseksi passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.


passiveMode: 'true'

Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin.

Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin.

Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia.

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO-tiedosto.

Varmista, että Yhdistetty ja Yhdistä virran ollessa päällä on valittuna, jotta päivitetyt kokoonpanomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilassa olevan palvelinkeskuksen solmulle.

Tarkista järjestelmälokeista, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä tarkastelemaan viestiä "KMS konfiguroitu passiivisessa tilassa" syslogeissa.

Mitä tehdä seuraavaksi

Määrityksen jälkeen passiveMode ISO-tiedostossa ja tallentamalla sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode määritys ja tallenna se turvalliseen paikkaan. Tämä ISO-tiedoston kopio ilman passiveMode Konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso yksityiskohtaiset vikasietotoimenpiteet kohdasta Disaster Recovery using Standby Data Center .

Välityspalvelimen tuki

Hybriditietoturva tukee eksplisiittisiä, läpinäkyviä ja ei-tarkastavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoosi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää solmujen ympäristön järjestelmänvalvojan käyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta – Oletusasetus, jos et integroi välityspalvelintaHDS-solmun määritysten Luottamussäilö & Välityspalvelin -määrityksen avulla. Varmenteen päivitystä ei tarvita.
Läpinäkyvä ei-tarkastava välityspalvelin– Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
Läpinäkyvä tunnelointi tai välityspalvelimentarkastaminen – Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTP- tai HTTPS-määrityksiä ei tarvitse muuttaa solmuissa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT-osasto käyttää yleensä välityspalvelinten tarkastamista valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteen (jopa HTTPS) salauksen.
Eksplisiittinen välityspalvelin– Kun käytät eksplisiittistä välityspalvelinta, kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää eksplisiittisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaisesta solmusta:
1. Välityspalvelimen IP/FQDN– Osoite, jonka avulla välityspalvelinlaitteeseen voidaan muodostaa yhteys.
2. Välityspalvelimen portti– Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla– Valitse seuraavista protokollista sen mukaan, mitä välityspalvelin tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS — Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Todennustyyppi– Valitse jokin seuraavista todennustyypeistä:
  - Ei mitään– Lisätodennusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
  - Perus– HTTP-käyttäjäagentti antaa käyttäjänimen ja salasanan pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
    
    Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.
  - Kooste– Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Käytettävissä vain, jos valitset HTTPS:n välityspalvelinprotokollaksi.
    
    Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimista

Tässä kaaviossa on esimerkkiyhteys hybriditietoturvan, verkon ja välityspalvelimen välillä. Läpinäkyvää tarkastusta ja HTTPS:n eksplisiittistä välityspalvelinta varten sama juurivarmenne on asennettava välityspalvelimeen ja hybriditietoturvasolmuihin.

Estetty ulkoinen DNS-selvitystila (eksplisiittiset välityspalvelinmääritykset)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmu ei voi tehdä kyselyjä DNS-palvelimille käyttöönotoissa, joissa on eksplisiittisiä välityspalvelinmäärityksiä, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille, se siirtyy automaattisesti estettyyn ulkoiseen DNS-selvitystilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Valmistele ympäristösi

Hybriditietoturvaa koskevat vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubia varten. (Katso https://www.cisco.com/go/pro-pack.)

Docker-työpöydän vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa edellyttää maksullista Docker Desktop -tilausta. Lisätietoja on Docker-blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksiamme".

X.509 Sertifikaatin vaatimukset

Varmenneketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509 Hybriditietoturvan käyttöönoton varmennevaatimukset
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.
Sisältää Common Name (CN) -toimialuenimen, joka yksilöi hybriditietoturvan käyttöönoton Ei ole yleisvarmenne	CN: n ei tarvitse olla tavoitettavissa tai live-isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi `hds.company.com`. CN:ssä ei saa olla merkkiä * (jokerimerkki). CN: tä käytetään hybriditietoturvasolmujen tarkistamiseen Webex App -asiakkaille. Kaikki klusterisi hybriditietoturvasolmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään x.509v3 SAN -kentissä määritettyä toimialuetta. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäyttöönotoissa.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS-yhteyksien tarkistamiseen.
Alustettu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä kutsumanimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet ladattavaksi.	Voit muuttaa varmenteen muotoa muuntimella, kuten OpenSSL:llä. Sinun on annettava salasana, kun suoritat HDS Setup Tool -työkalun.

KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avaimen käyttörajoituksia. Jotkin varmenteiden myöntäjät edellyttävät, että kuhunkin varmenteeseen, kuten palvelintodennukseen, sovelletaan laajennettujen avainten käyttörajoituksia. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterisi hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntää (suositus 3) samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.

Sinun on päivitettävä, jos sinulla on ESXi:n aiempi versio.
Vähintään 4 vCPU:ta, 8 Gt päämuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantakaavion.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Kunkin vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettu ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 edellyttää Service Pack 2:ta ja kumulatiivista päivitystä 2 tai uudempaa.

Vähintään 8 vCPU: ta, 16 Gt: n päämuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään tarvitsematta lisätä tallennustilaa)

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ohjainversiot tietokantapalvelimen kanssa tapahtuvaa tiedonsiirtoa varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kuljettaja 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Always On Failover Cluster Instances ja Always On availability groups).

Lisävaatimukset Microsoft SQL Serverin suorittamalle Windows-todennukselle

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaan, tarvitset ympäristössäsi seuraavat määritykset:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP: n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava tietokannan luku- ja kirjoitusoikeudet.
HDS-solmuille tarjoamiesi DNS-palvelimien on kyettävä ratkaisemaan avainten jakelukeskus (KDC).
Voit rekisteröidä HDS-tietokantaesiintymän Microsoft SQL Serverissä palvelun päänimenä (SPN) Active Directoryssa. Katso Palvelun päänimen rekisteröiminen Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistysohjelman ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilötietokannan käyttämiseen. He käyttävät ISO-määrityksesi tietoja palvelun päänimen muodostamiseen pyytäessään käyttöoikeutta Kerberos-todennuksella.

Ulkoisia yhteyksiä koskevat vaatimukset

Määritä palomuuri sallimaan seuraavat yhteydet HDS-sovelluksille:

Sovellus	Protokolla	Satama	Suunta sovelluksesta	Kohde
Hybridi tietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on lueteltu hybriditietoturvaa varten Webex-palveluiden verkkovaatimusten Lisä-URL-osoitteet -taulukossa
HDS-asennustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Hybrid Data Security -solmut toimivat verkkoyhteyden muuntamisessa (NAT) tai palomuurin takana, kunhan NAT tai palomuuri sallii tarvittavat lähtevät yhteydet edellisessä taulukossa mainittuihin toimialuekohteisiin. Hybrid Data Security -solmuihin saapuvissa yhteyksissä porttien ei pitäisi näkyä Internetistä. Datakeskuksessasi asiakkaat tarvitsevat pääsyn TCP-porttien 443 ja 22 hybriditietoturvasolmuihin hallinnollisiin tarkoituksiin.

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Common Identity -isännän URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelimen vaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmuihisi.

Läpinäkyvä välityspalvelin – Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Kalmari.

Kalmarien välityspalvelimet, jotka tarkastavat HTTPS-liikenteen, voivat häiritä websocketin (wss:) perustamista Yhteydet. Lisätietoja tämän ongelman kiertämisestä on artikkelissa Kalmarien välityspalvelimien määrittäminen hybriditietoturvaavarten.

Tuemme seuraavia todennustyyppien yhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP:llä tai HTTPS:llä
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen päävarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luottamussäilöihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan portin 443 lähtevä TCP-liikenne reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastelevat välityspalvelimet voivat häiritä verkkovastakeyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkista) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Tämän tarkistusluettelon avulla voit varmistaa, että olet valmis asentamaan ja määrittämään hybriditietoturvaklusterin.

Varmista, että Cisco Webex Control Hubin Pro Pack on otettu käyttöön Webex-organisaatiossasi, ja hanki sellaisen tilin tunnistetiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakaspäällikköösi, jos tarvitset apua tässä prosessissa.

Valitse toimialuenimi HDS-käyttöönottoa varten (esimerkiksi hds.company.com) ja hankkia varmenneketjun, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenneketjun on täytettävä X.509-varmennevaatimusten vaatimukset .

Valmistele identtiset virtuaaliset isännät, jotka määrität klusterisi hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntää (3 suositusta), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät virtuaalisen isännän vaatimustenvaatimukset .

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona tietokantapalvelimen vaatimustenmukaisesti . Tietokantapalvelimen on sijaittava suojatussa datakeskuksessa virtuaalisten isäntien kanssa.

Luo tietokanta avainten tallennusta varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantarakenteen.)
Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (DBNAME) avainten tallennusta varten
- sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avaintallennustietokantaan

Jos haluat palauttaa järjestelmäpalautuksen nopeasti, määritä varmuuskopiointiympäristö toiseen palvelinkeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta.

Määritä syslog-isäntä keräämään lokeja klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Luo suojattu varmuuskopiointikäytäntö hybriditietoturvasolmuille, tietokantapalvelimelle ja syslog-isännälle. Vähintään peruuttamattoman tietojen menetyksen estämiseksi sinun on varmuuskopioitava tietokanta ja Hybrid Data Security -solmuille luotu määrityksen ISO-tiedosto.

Koska Hybrid Data Security -solmut tallentavat avaimet, joita käytetään sisällön salauksessa ja salauksen purkamisessa, operatiivisen käyttöönoton ylläpitämättä jättäminen johtaa kyseisen sisällön peruuttamattomaan MENETYKSEEN .

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä ole heti havaittavissa, mutta se ilmenee ajan myötä. Vaikka väliaikaisia katkoksia on mahdotonta estää, ne ovat palautettavissa. Tietokannan tai määrityksen ISO-tiedoston täydellinen menetys (varmuuskopioita ei ole saatavilla) johtaa kuitenkin siihen, että asiakastietoja ei voida palauttaa. Hybrid Data Security -solmujen operaattoreiden odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvan datakeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

Varmista, että palomuurimääritykset sallivat yhdistelmätietoturvasolmujen yhdistämisen kohdassa Ulkoiset yhteysvaatimuksetkuvatulla tavalla.

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi) verkkoselaimella, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-esiintymän avulla voit ladata ja suorittaa HDS Setup Tool -työkalun, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -käyttöoikeuden. Katso lisätietoja kohdasta Docker Desktop Requirements .

HDS Setup Tool -työkalun asentaminen ja suorittaminen edellyttää, että paikallisella koneella on kohdassa Ulkoiset yhteysvaatimuksetkuvatut yhteydet.

Jos integroit välityspalvelimen yhdistelmäsuojaukseen, varmista, että se täyttää välityspalvelimen vaatimukset.

Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjiä. Kokeiluryhmässä voi olla enintään 250 käyttäjää. Sitä HdsTrialGroup Objekti on synkronoitava pilveen, ennen kuin voit aloittaa kokeiluversion organisaatiollesi. Jos haluat synkronoida ryhmäobjektin, valitse se Hakemistoyhdistimen Määritys- > Objektinvalinta-valikosta . (Katso tarkemmat ohjeet Cisco Directory Connectorin käyttöönotto-opas.)

Tietyn tilan avaimet asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton käytöstä pysyvästi, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Menetys ilmenee heti, kun käyttäjien sovellukset päivittävät välimuistissa olevat kopionsa sisällöstä.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävänkulku

Ennen kuin aloitat

Luo määritys-ISO HDS-isännille

Lataa OVA-tiedosto paikalliseen koneeseesi myöhempää käyttöä varten.

HDS Setup Tool -työkalun avulla voit luoda ISO-määritystiedoston Hybrid Data Security -solmuille.

HDS-isännän OVA:n asentaminen

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Hybrid Data Security VM:n määrittäminen

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

Lataa ja asenna HDS-kokoonpano ISO

Määritä virtuaalikone ISO-määritystiedostosta, jonka loit HDS Setup Tool -työkalulla.

Määritä HDS-solmu välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelimen määritystä, määritä solmussa käytettävän välityspalvelimen tyyppi ja lisää välityspalvelimen varmenne luottamussäilöön tarvittaessa.

Rekisteröi virtuaalikone Cisco Webex -pilveen hybriditietoturvasolmuna.