Käyttöönotto-opas Webex Hybrid Data Security

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.

Voit myös ladata OVA:n milloin tahansa osoitteesta auta -osio asetukset sivu. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia avataksesi sivun. Napsauta sitten Lataa Hybrid Data Security -ohjelmisto in auta osio.

Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.)

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Määritä Hybrid Data Security VM

Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriisi lisää solmuja, sinun tarvitsee vain luoda uusia virtuaalikoneita ja liittää sama ISO-määritystiedosto ja rekisteröidä sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Jos poistat Hybrid Data Security -asennuksen käytöstä, pilottikäyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot korvataan.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytämässä uuden KMS-resurssiobjektin (KRO) luomista tilan tai muun suojatun resurssin luomisen yhteydessä, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

Control Hubin tilailmaisin näyttää, onko Hybrid Data Security -asennuksessa kaikki hyvin. Jos haluat ennakoivampaa hälytystä, tilaa sähköposti-ilmoitukset. Saat ilmoituksen palveluun vaikuttavista hälytyksistä tai ohjelmistopäivityksistä.

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.

Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

Kun olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille, voit siirtyä tuotantoon. Kun siirryt tuotantoon, kaikki organisaation käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Et voi siirtyä takaisin kokeilutilaan tuotannosta, ellet poista palvelua käytöstä osana katastrofipalautusta. Palvelun uudelleenaktivointi edellyttää uuden kokeiluversion määrittämistä.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

Jos päätät kokeilun aikana olla jatkamatta Hybrid Data Security -käyttöönottoasi, voit poistaa Hybrid Data Securityn käytöstä, mikä päättää kokeilun ja siirtää kokeilun käyttäjät takaisin pilvitietoturvapalveluihin. Kokeilukäyttäjät menettävät pääsyn kokeen aikana salattuihin tietoihin.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, sinulla on mahdollisuus päivittää klusteri manuaalisesti ennen ajoitettua päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: Amerikka/Los Angeles. Voit myös lykätä tulevaa päivitystä tarvittaessa.

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun:

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.

Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.

Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

Jos ensisijainen palvelinkeskus aktivoituu uudelleen vikasietotilan jälkeen, aseta valmiustilassa oleva datakeskus uudelleen passiiviseen tilaan noudattamalla kohdassa kuvattuja ohjeita. Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.

Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Pöytä 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss: liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uutta ja muuttunutta tietoa

Päiväys

Muutoksia tehty

20. lokakuuta 2023

Päivitetyt tiedot sisään Tietokantapalvelimen vaatimukset.
Lisätty Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten.
Päivitetyt tiedot sisään Standby Data Center katastrofipalautukseen ja Katastrofipalautus valmiustilan tietokeskuksen avulla.

07. elokuuta 2023

Lisätty muistiinpano Lataa asennustiedostot.
Lisätty muistiinpano Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

23. toukokuuta 2023

Tiedot poistettu osoitteesta Tietokantapalvelimen vaatimukset pyytää ominaisuuden ottamista käyttöön ottamalla yhteyttä tilitiimiin.
Päivitetyt tiedot sisään Ulkoisen yhteyden vaatimukset ja lisäsi Kanadan CI-isäntätaulukkoon.
Lisätty muistiinpano Hybriditietoturvan käyttöönottoon liittyvät odotukset koskien mekanismeja, joilla avaimet siirretään takaisin pilveen.

06. joulukuuta 2022

HDS Setup Toolin kuvia isännöidään nyt ciscocitg dockerhub-arkisto.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa aiheita, jotka kuvaavat komentojen muutoksia.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset aiheeseen, jossa on lisävaatimuksia tälle todennustilalle.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille Windows-todennuksen määrittämiseksi solmuissa.
Päivitetty Tietokantapalvelimen vaatimukset aiheeseen uusilla vaadituilla vähimmäisversioilla (PostgreSQL 10).

13. lokakuuta 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten.

30. huhtikuuta 2021

Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten.

24. helmikuuta 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten.

2. helmikuuta 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.

11. tammikuuta 2021

Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille.

13. lokakuuta 2020

Päivitetty Lataa asennustiedostot.

8. lokakuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille.

14. elokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla.

5. elokuuta 2020

Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille.

Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä.

16. kesäkuuta 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille.

4. kesäkuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää.

29. toukokuuta 2020

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa.

5. toukokuuta 2020

Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus.

21. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa.

1. huhtikuuta 2020

Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä.

20. helmikuuta 2020 Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa.

4. helmikuuta 2020 Päivitetty Välityspalvelinvaatimukset.

16. joulukuuta 2019 Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset.

19. marraskuuta 2019

Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin:

Välityspalvelimen tuki
Määritä HDS-solmu välityspalvelinintegraatiota varten
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

8. marraskuuta 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen.

Päivitetty seuraavat osiot vastaavasti:

Hybridin tietoturvan käyttöönottotehtäväkulku
Asenna HDS Host OVA
Määritä Hybrid Data Security VM

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

SQL Server Standard lisätty Tietokantapalvelimen vaatimukset.

20. elokuuta 2019

Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen.

Välityspalvelimen tuki
Välityspalvelinvaatimukset
Määritä HDS-solmu välityspalvelinintegraatiota varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli.

6. maaliskuuta 2019

Vaatimukset ja edellytykset siirretty erilliseen lukuun, Valmistele ympäristösi.
Lisätty Hybridin tietoturvan käyttöönottotehtäväkulku yleiskatsaus luvussa Ota käyttöön hybriditietoturvaklusteri.

Huomioi, että ennen kuin aloitat kokeilun (seuraavan luvun ohjeiden mukaan), solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
Lisätty Kokeilu tuotantotehtäväkulkuun luvussa Suorita kokeilu ja siirry tuotantoon.

28. helmikuuta 2019

Korjattiin paikallisen kiintolevytilan määrä palvelinta kohden, joka sinun tulisi varata valmisteltaessa virtuaalisia isäntiä, joista tulee hybriditietoturvasolmuja, 50 Gt:sta 20 Gt:iin OVA:n luoman levyn koon mukaan.

26. helmikuuta 2019

Hybrid Data Security -solmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja lokiyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ohjeiden kanssa.
Kohde-URL-osoitteet poistettu Hybrid Data Security Node VM:n Internet-yhteysvaatimukset -taulukosta. Taulukko viittaa nyt luetteloon, jota ylläpidetään Webex Teams -hybridipalvelujen lisä-URL-osoitteet -taulukossa Webex Teams -palveluiden verkkovaatimukset.

24. tammikuuta 2019

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien Docker hds -esiintymien puhdistamiseksi Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.
Päivitetty avaimen käyttöoikeustason astuminen sisään Luo konfigurointi-ISO HDS-isäntäkoneille vastaamaan käyttöliittymää.

19. lokakuuta 2018

Jaa palomuuriyhteystiedot solmuvaatimuksiin ja ISO-määrityskonevaatimuksiin Täytä hybriditietoturvan edellytykset.

31. heinäkuuta 2018

Lisätty portti 22 (SSH-yhteys) ja tiedot NAT- ja palomuuriyhteyksistä Täytä hybriditietoturvan edellytykset.

21. toukokuuta 2018

Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

11. huhtikuuta 2018

Lisätty Standby Data Center katastrofipalautukseen.
Päivitetty Täytä hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön tulee olla eri tietokeskuksessa.
Päivitetty Katastrofipalautus valmiustilan tietokeskuksen avulla.

22. helmikuuta 2018

Lisätty tiedot palvelutilin salasanasta 9 kuukauden käyttöiästä ja HDS Setup -työkalun käyttämisestä palvelutilin salasanojen nollaamiseen Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa.

15. helmikuuta 2018

Vuonna X.509 Varmennevaatimukset taulukko, jossa määritettiin, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä.

18. tammikuuta 2018

Lisätty liite, Liikenne HDS-solmujen ja pilven välillä.
Ratkaistu ongelma poistettiin kohteesta Hybriditietoturvan tunnetut ongelmat.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon Täytä hybriditietoturvan edellytykset.
Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ilmaisemaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-selvitettävissä HDS-solmuista, sinun on määritettävä ne IP-osoitteiden avulla.

2. marraskuuta 2017

Selvennetty HdsTrialGroupin hakemistosynkronointi.
Korjatut ohjeet ISO-määritystiedoston lataamiseen VM-solmuihin liittämistä varten.

18. elokuuta 2017

Ensimmäinen julkaistu

Aloita hybriditietoturvan käyttö

Hybridin tietoturvan yleiskatsaus

Security Realm -arkkitehtuuri

Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.

Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.

Yhteistyö muiden organisaatioiden kanssa

Hybriditietoturvan käyttöönottoon liittyvät odotukset

Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:

Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.

Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.

Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen.

Korkean tason asennusprosessi

Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:

Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybriditietoturvan käyttöönottomalli

Hybriditietoturvan käyttöönottomalli

Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Tuemme vain yhtä klusteria organisaatiota kohden.

Hybriditietoturvan kokeilutila

Standby Data Center katastrofipalautukseen

Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa.

Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten

Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:

Ennen kuin aloitat

Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

ISO-tiedoston on oltava kopio ensisijaisen datakeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat konfiguraatiopäivitykset tehdään.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset


passiveMode: 'true'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslogit varmistaaksesi, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä katsomaan syslogeissa viesti "KMS määritetty passiiviseen tilaan".

Mitä tehdä seuraavaksi

Välityspalvelimen tuki

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
1. Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
3. Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
  - HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
4. Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
  - Ei mitään-Lisätunnistusta ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
  - Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
    
    Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
    
    Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)

Valmistele ympäristösi

Hybriditietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

X.509 Varmennevaatimukset

Varmenneketjun tulee täyttää seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönotolle
Vaatimus	Tiedot
Luotetun varmenteen myöntäjän (CA) allekirjoittama	Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs.
Sillä on Common Name (CN) -verkkotunnus, joka tunnistaa hybriditietoturva-asetuksesi Ei ole jokerimerkkitodistus	CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön.
Ei-SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi.
Muotoiltu salasanalla suojatuksi PKCS #12 -tiedostoksi Käytä ystävällistä nimeä `kms-private-key` merkitäksesi varmenteen, yksityisen avaimen ja kaikki ladattavat välisertifikaatit.	Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun.

Virtuaalipalvelimen vaatimukset

Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.

Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:

Taulukko 2. Tietokantapalvelinvaatimukset tietokantatyypin mukaan

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16, asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ohjain 42.2.5

SQL Server JDBC -ohjain 4.6

Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät).

Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.

HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.

Ulkoisen yhteyden vaatimukset

Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:

Sovellus	pöytäkirja	Portti	Ohje sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on listattu hybriditietoturvalle Webex-hybridipalvelujen lisä-URL-osoitteet taulukko Webex-palveluiden verkkovaatimukset
HDS-asetustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yhteisen identiteetin isäntä-URL-osoitteet
Amerikka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelinvaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.

Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).

Eksplisiittinen välityspalvelin – Squid.

Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP- tai HTTPS-protokollalla
- Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen wbx2.com ja ciscospark.com ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Luo tietokanta avainten säilytystä varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman.)
Kerää tiedot, joita solmut käyttävät viestiessään tietokantapalvelimen kanssa:
- isäntänimi tai IP-osoite (isäntä) ja portti
- tietokannan nimi (dbname) avainten tallennusta varten
- sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki avainten tallennustietokannan oikeudet

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514).

Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset.

HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset.

Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset.

Ota käyttöön hybriditietoturvaklusteri

Hybridin tietoturvan käyttöönottotehtäväkulku

Ennen kuin aloitat

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla.

Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

Määritä HDS-solmu välityspalvelinintegraatiota varten

Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla.

Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi.

Viimeistele klusterin asennus.

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka määritit Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut.

Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa.

Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.

Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfigurointi-ISO HDS-isäntäkoneille

Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.

Ennen kuin aloitat

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
- Tietokannan tunnistetiedot
- Varmenteiden päivitykset
- Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:

docker login -u hdscustomersro

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTPS-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Siirry paikallispalvelimeen verkkoselaimella, http://127.0.0.1:8080 ja anna Control Hubin asiakkaan järjestelmänvalvojan käyttäjätunnus kehotteeseen.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen.

Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

Napsauta Setup Toolin yleiskatsaussivulla Aloittaa.

Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:

Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole lähetettävää ISO-tiedostoa.
Joo—Jos olet jo luonut HDS-solmuja, valitse ISO-tiedostosi selaamisesta ja lataa se.

Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.

Jos et ole koskaan ladannut varmennetta aiemmin, lataa X.509-varmenne, anna salasana ja napsauta Jatkaa.
Jos sertifikaattisi on kunnossa, napsauta Jatkaa.
Jos varmenne on vanhentunut tai haluat vaihtaa sen, valitse Ei varten Jatketaanko HDS-varmenneketjun ja aiemman ISO:n yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatkaa.

Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön:

Valitse omasi Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

Jos valitset Microsoft SQL Server, saat Todennustyyppi-kentän.
(Microsoft SQL Server vain) Valitse omasi Tunnistautumistapa:
- Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus ala.
- Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN in Käyttäjätunnus ala.
Kirjoita tietokantapalvelimen osoite lomakkeeseen <hostname>:<port> tai <IP-address>:<port>.

Esimerkki:
dbhost.example.org:1433 tai 198.51.100.17:1433

Voit käyttää IP-osoitetta perustodennusta varten, jos solmut eivät voi käyttää DNS:ää isäntänimen selvittämiseen.

Jos käytät Windows-todennusta, sinun on annettava Fully Qualified Domain Name muodossa dbhost.example.org:1433
Syötä Tietokannan nimi.
Syötä Käyttäjätunnus ja Salasana käyttäjältä, jolla on kaikki avainten tallennustietokannan oikeudet.

Valitse TLS-tietokantayhteystila:

tila

Kuvaus

Valitse TLS (oletusasetus)

HDS-solmut eivät vaadi TLS:ää muodostaakseen yhteyden tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja vahvista varmenteen allekirjoittaja

Tämä tila ei sovellu SQL Server -tietokantoihin.

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Vaadi TLS ja varmista varmenteen allekirjoittaja ja isäntänimi

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.
TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa varmenteen myöntäjään. Tietokannan juurisertifikaatti. Jos ne eivät täsmää, solmu katkaisee yhteyden.
Solmut varmistavat myös, että palvelinvarmenteen isäntänimi vastaa palvelimen isäntänimeä Tietokannan isäntä ja portti ala. Nimien on vastattava täsmälleen, tai solmu katkaisee yhteyden.

Käytä Tietokannan juurisertifikaatti -painike avattavan valikon alla ladataksesi juurivarmenteen tälle vaihtoehdolle.

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

Anna syslog-palvelimen URL-osoite.

Jos palvelin ei ole DNS-selvitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

Esimerkki:
udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portissa 514.
Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.
alkaen Valitse syslog-tietueen lopetus avattavasta valikosta, valitse sopiva asetus ISO-tiedostollesi: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP:lle
- Nollatavu -- \x00
- Uusi rivi -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP:lle.
Klikkaus Jatkaa.

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:

app_datasource_connection_pool_maxSize: 10

Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö.

Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot.

Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi.

Sulje Setup-työkalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Käytä tätä menettelyä luodaksesi virtuaalikoneen OVA-tiedostosta.

Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään.

Valitse Tiedosto > Ota käyttöön OVF-malli.

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava .

Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava .

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

Tarkista mallin tiedot ja napsauta sitten Seuraava.

Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava .

Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö.

Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen.

Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:

Isäntänimi— Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
Varmistaaksesi onnistuneen rekisteröinnin pilveen, käytä vain pieniä kirjaimia FQDN:ssä tai isäntänimessä, jonka olet määrittänyt solmulle. Isoja kirjaimia ei tueta tällä hetkellä.
FQDN:n kokonaispituus ei saa ylittää 64 merkkiä.

IP-osoite— Syötä solmun sisäisen liitännän IP-osoite.

Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
Naamio— Syötä aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi, 255.255.255.0.
Gateway— Syötä yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkosolmu, joka toimii yhteyspisteenä toiseen verkkoon.
DNS-palvelimet— Anna pilkuilla eroteltu luettelo DNS-palvelimista, jotka käsittelevät verkkotunnusten nimien muuntamisen numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää sallitaan.)
NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai muu ulkoinen NTP-palvelin, jota voidaan käyttää organisaatiossasi. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkuilla eroteltua luetteloa syöttääksesi useita NTP-palvelimia.

Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkailta hallinnollisia tarkoituksia varten.

Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.

Mahdollisuus määrittää verkkoasetukset OVA-asennuksen aikana on testattu ESXi 6.5:llä. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten Tehoa > Virta päälle .

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun.

Vianetsintävinkkejä

Määritä Hybrid Data Security VM

1	Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
2	Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Kirjaudu sisään: `admin` Salasana: `cisco` Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.
3	Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto.
4	Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.
5	(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen.
6	Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS Configuration ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen ISO-tiedostosta, jonka loit HDS Setup Tool -työkalulla.

Ennen kuin aloitat

Lataa ISO-tiedosto tietokoneeltasi:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa ESXi-palvelinta.
Napsauta Asetukset-välilehden Laitteisto-luettelosta Varastointi.
Napsauta Datastores-luettelossa hiiren kakkospainikkeella virtuaalikoneidesi tietosäilöä ja napsauta Selaa Datastorea.
Napsauta Lataa tiedostot -kuvaketta ja napsauta sitten Lataa tiedosto.
Selaa sijaintiin, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avata.
Klikkaus Joo hyväksyäksesi lataus-/lataustoimintovaroituksen ja sulje tietotallennusikkuna.

Asenna ISO-tiedosto:

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Klikkaus OK hyväksyäksesi rajoitettujen muokkausvaihtoehtojen varoituksen.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritysten ISO-tiedoston.
Tarkistaa Yhdistetty ja Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Määritä HDS-solmu välityspalvelinintegraatiota varten

Ennen kuin aloitat

Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
Välityspalvelinvaatimukset

1	Anna HDS-solmun asetusten URL-osoite `https://[HDS Node IP or FQDN]/setup` kirjoita verkkoselaimessa solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto: Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Varmennepäivitystä ei tarvita. Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita. Läpinäkyvä tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTPS-kokoonpanon muutoksia ei tarvita Hybriditietoturva käyttöönoton yhteydessä HDS-solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n). Explicit Proxy— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta tulee käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot: Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen. Välityspalvelinprotokolla-Valita http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee. Tunnistautumistapa-Valitse seuraavista todennustyypeistä: Ei mitään-Lisätunnistusta ei tarvita. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta. Saatavilla HTTP- tai HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta. Saatavilla vain HTTPS-välityspalvelimille. Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana. Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla.
3	Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen.
4	Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä.
5	Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.
6	Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä.
7	Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa yleisen solmun, jonka loit kohteessa Määritä Hybrid Data Security VM, rekisteröi solmun Webex-pilveen ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Kirjaudu sisään https://admin.webex.com.
2	Valitse näytön vasemman reunan valikosta Palvelut.
3	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
4	Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava.
5	Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"
6	Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
7	Klikkaus Siirry Nodeen.
8	Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
9	Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
10	Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Ennen kuin aloitat

Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.

1	Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA.
2	Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM.
3	Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO.
4	Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten.
5	Rekisteröi solmu. Sisään https://admin.webex.com, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. Etsi Hybridipalvelut-osiosta Hybriditietoturvakortti ja napsauta Resurssit. Hybriditietoturvaresurssit-sivu tulee näkyviin. Klikkaus Lisää resurssi. Valitse ensimmäisessä kentässä olemassa olevan klusterin nimi. Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Näkyviin tulee viesti, joka kertoo, että voit rekisteröidä solmusi Webex-pilveen. Klikkaus Siirry Nodeen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi luvan käyttää solmuasi. Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen. Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.

Mitä tehdä seuraavaksi

Suorita kokeilu ja siirry tuotantoon (seuraava kappale)

Suorita kokeilu ja siirry tuotantoon

Kokeilu tuotantotehtäväkulkuun

Ennen kuin aloitat

1	Synkronoi tarvittaessa `HdsTrialGroup` ryhmäobjekti. Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava `HdsTrialGroup` ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
2	Aktivoi kokeiluversio Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu.
3	Testaa hybriditietoturvaasi Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.
4	Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten.
5	Lisää tai poista käyttäjiä kokeiluversiostasi
6	Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: Siirry kokeilusta tuotantoon Lopeta kokeilu siirtymättä tuotantoon

Aktivoi kokeiluversio

Ennen kuin aloitat

1	Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
4	Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, `HdsTrialGroup`.)

Testaa hybriditietoturvaasi

Käytä tätä menettelyä testataksesi Hybrid Data Securityn salausskenaarioita.

Ennen kuin aloitat

Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.

Lähetä viestejä uuteen tilaan.

Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi.

Jos haluat tarkistaa, onko käyttäjä ensin luomassa suojattua kanavaa KMS:ään, suodata päälle kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennetty luettavuuden vuoksi):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata päälle kms.data.method=retrieve ja kms.data.type=KEY:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata päälle kms.data.method=create ja kms.data.type=KEY_COLLECTION:

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Sinun pitäisi löytää merkintä, kuten:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Tarkkaile hybriditietoturvan kuntoa

1	Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta.
2	Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3	Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään.

Lisää tai poista käyttäjiä kokeiluversiostasi

Kun olet aktivoinut kokeilujakson ja lisännyt ensimmäiset kokeilukäyttäjäjoukot, voit lisätä tai poistaa kokeilujakson jäseniä milloin tahansa kokeilun ollessa aktiivinen.

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta.
4	Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa.

Siirry kokeilusta tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Palvelun tila -osiossa Siirry tuotantoon.
4	Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon.

Lopeta kokeilu siirtymättä tuotantoon

1	Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
2	Napsauta Hybriditietoturva-kohdassa asetukset.
3	Napsauta Poista käytöstä -osiossa Poista käytöstä.
4	Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.

Aseta klusterin päivitysaikataulu

Päivitysaikataulun määrittäminen:

1	Kirjaudu sisään Ohjauskeskus.
2	Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva.
3	Valitse Hybriditietoturvaresurssit-sivulla klusteri.
4	Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi.
5	Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan hybriditietoturvasolmusi kokoonpanoa seuraavista syistä:

x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.

Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.

Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.

Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.

Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.

Ennen kuin aloitat

Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:

Kuvaus	Muuttuja
HTTP-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-välityspalvelin ilman todennusta	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-välityspalvelin todennuksella	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.

Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa.

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asetustyökalun kuvat. Jos aikaisempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
```
docker login -u hdscustomersro
```
Kirjoita salasanakehotteeseen tämä hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Lataa uusin vakaa kuva ympäristöösi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable

Varmista, että vedät viimeisimmän asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

Kun veto on valmis, anna ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä HTTP-välityspalvelimen kanssa:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Tavallisissa ympäristöissä, joissa on HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä ilman välityspalvelinta:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080".

Käytä selainta muodostaaksesi yhteyden paikallispalvelimeen, http://127.0.0.1:8080.

Asennustyökalu ei tue yhteyden muodostamista localhostiin kautta http://localhost:8080. Käyttää http://127.0.0.1:8080 yhteyden muodostamiseksi localhostiin.

Anna pyydettäessä Control Hub -asiakkaan kirjautumistietosi ja napsauta sitten Hyväksyä jatkaa.
Tuo nykyinen ISO-määritystiedosto.
Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

Sulje Setup-työkalu kirjoittamalla CTRL+C.
Luo varmuuskopio päivitetystä tiedostosta toisessa palvelinkeskuksessa.

Asenna HDS-isäntä OVA.
Asenna HDS VM.
Asenna päivitetty asetustiedosto.
Rekisteröi uusi solmu Control Hubissa.

Sammuta virtuaalikone.
Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.
Napsauta CD/DVD Drive 1, valitse asennusvaihtoehto ISO-tiedostosta ja selaa sijaintiin, josta latasit uuden ISO-määritystiedoston.
Tarkistaa Yhdistä virran ollessa kytkettynä.
Tallenna muutokset ja käynnistä virtuaalikone.

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa.

Poista Estetty ulkoinen DNS-resoluutiotila käytöstä

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi voivat ratkaista julkiset DNS-nimet ja että solmusi voivat kommunikoida niiden kanssa.

1	Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.
2	Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo.
3	Siirry kohtaan Trust Store ja välityspalvelin sivu.
4	Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteystesti jokaisessa hybriditietoturvaklusterin solmussa.

Poista solmu

Käytä tätä menettelyä poistaaksesi Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi pääsyn suojaustietoihisi.

Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen.

Poista solmu:

Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut.
Napsauta Hybrid Data Security -kortissa Näytä kaikki näyttääksesi Hybriditietoturvaresurssit -sivun.
Valitse klusterisi näyttääksesi sen Yleiskatsaus-paneelin.
Klikkaus Avaa solmuluettelo.
Valitse Solmut-välilehdessä solmu, jonka haluat poistaa.
Klikkaus Toiminnot > Poista solmun rekisteröinti.

Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.)

Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella.

Katastrofipalautus valmiustilan tietokeskuksen avulla

Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.

Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset

Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista passiveMode asetukset solmun aktivoimiseksi. Solmu pystyy käsittelemään liikennettä, kun tämä on määritetty.


passiveMode: 'false'

Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia..

Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista Yhdistetty ja Yhdistä virran ollessa kytkettynä tarkistetaan, jotta päivitetyt konfiguraatiomuutokset voivat tulla voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.

Tarkista syslog-lähtö varmistaaksesi, että valmiustilan datakeskuksen solmut eivät ole passiivisessa tilassa. "KMS määritetty passiiviseen tilaan" ei pitäisi näkyä syslogeissa.

Mitä tehdä seuraavaksi

(Valinnainen) Irrota ISO HDS-määrityksen jälkeen

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1	Sulje yksi HDS-solmuistasi.
2	Valitse vCenter Server Appliancessa HDS-solmu.
3	Valita Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO-tiedosto.
4	Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin.
5	Toista jokaiselle HDS-solmulle vuorotellen.

Hybriditietoturvan vianetsintä

Näytä hälytykset ja vianetsintä

Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
- Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
- Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti

On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.

Hälytykset

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemisen vaiheet
Varoitus	Toiminta
Paikallisen tietokannan käyttövirhe.	Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta.
Paikallinen tietokantayhteys epäonnistui.	Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.
Pilvipalvelun käyttövirhe.	Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset.
Pilvipalvelurekisteröinnin uusiminen.	Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä.
Pilvipalvelun rekisteröinti putosi.	Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan.
Palvelua ei ole vielä aktivoitu.	Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon.
Määritetty toimialue ei vastaa palvelimen varmennetta.	Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN.
Todennus pilvipalveluihin epäonnistui.	Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen.
Paikallisen avainsäilytystiedoston avaaminen epäonnistui.	Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus.
Paikallisen palvelimen varmenne on virheellinen.	Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä.
Mittareita ei voi lähettää.	Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin.
/media/configdrive/hds-hakemistoa ei ole olemassa.	Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Hybriditietoturvan vianetsintä

Noudata seuraavia yleisiä ohjeita, kun etsit Hybrid Data Securityn ongelmia.

1	Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet.
2	Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta.
3	Ottaa yhteyttä Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.

Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).

Luo PKCS12-tiedosto OpenSSL:n avulla

Ennen kuin aloitat

OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).

1	Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä `hdsnode.pem`.
2	Näytä varmenne tekstinä ja tarkista tiedot. `openssl x509 -text -noout -in hdsnode.pem`
3	Luo tekstieditorilla varmennepakettitiedosto nimeltä `hdsnode-bundle.pem`. Kimpputiedoston on sisällettävä palvelinvarmenne, mahdolliset CA-välivarmenteet ja CA-juurivarmenteet seuraavassa muodossa: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Luo .p12-tiedosto ystävällisellä nimellä `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Tarkista palvelimen varmenteen tiedot. `openssl pkcs12 -in hdsnode.p12` Syötä kehotteeseen salasana salataksesi yksityisen avaimen niin, että se luetellaan tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit `friendlyName: kms-private-key`. Esimerkki: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12 tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittaustietojen keräämisen liikenne

Sisääntuleva liikenne

Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

Kalmari 4 ja 5

Lisää on_unsupported_protocol ohje squid.conf:

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Esipuhe

Uudet ja muuttuneet tiedot

Päiväys

Tehdyt muutokset

20. lokakuuta 2023

Päivitetyt tiedot osoitteessa Tietokantapalvelimen vaatimukset.
Lisätty osoitteeseen Standby-datakeskuksen määrittäminen katastrofien palautusta varten.
Päivitetyt tiedot osoitteissa Standby Data Center for Disaster Recovery ja Disaster Recovery using Standby Data Center.

elokuu 07, 2023

Lisätty huomautus kohtaan Lataa asennustiedostot.
Lisätty huomautus osoitteisiin Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota.

23. toukokuuta 2023

Poistetut tiedot osoitteesta Tietokantapalvelimen vaatimukset Ominaisuuden käyttöönoton pyytäminen ottamalla yhteyttä tilitiimiin.
Päivitetty tietoja osoitteessa External connectivity requirements ja lisätty Kanada CI hosts -taulukkoon.
Lisätty huomautus osoitteeseen Expectations for Deploying Hybrid Data Security koskien mekanismien käyttämättömyyttä avainten siirtämiseksi takaisin pilveen.

joulukuu 06, 2022

HDS Setup Tool -kuvia säilytetään nyt osoitteessa ciscocitg dockerhub-arkistossa.
Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen -aiheet komentojen muutosten mukaisiksi.

23. marraskuuta 2022

HDS-solmut voivat nyt käyttää Windows-todennusta Microsoft SQL Serveriä vastaan.

Päivitetty Tietokantapalvelimen vaatimukset -aiheeseen tämän todennustilan lisävaatimukset.

Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja menettelytapa Windows-todennuksen määrittämiseksi solmuihin.
Päivitetty Tietokantapalvelimen vaatimukset -aiheeseen uudet vaaditut vähimmäisversiot (PostgreSQL 10).

lokakuu 13, 2021

Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset.

24. kesäkuuta 2021

Huomaa, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja osoitteesta Käytä OpenSSL:ää PKCS12-tiedoston luomiseen .

huhtikuu 30, 2021

Muutettiin VM:n vaatimus paikallisen kiintolevytilan osalta 30 Gt:ksi. Katso lisätietoja osoitteesta Virtual Host Requirements .

helmikuu 24, 2021

HDS Setup Tool voi nyt toimia välityspalvelimen takana. Lisätietoja on osoitteessa Create a Configuration ISO for the HDS Hosts .

helmikuu 2, 2021

HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

tammikuu 11, 2021

Lisätty tietoa HDS Setup -työkalusta ja välityspalvelimista osoitteeseen Create a Configuration ISO for the HDS Hosts.

lokakuu 13, 2020

Päivitetty Lataa asennustiedostot.

lokakuu 8, 2020

Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota FedRAMP-ympäristöjen komennoilla.

elokuu 14, 2020

Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen kirjautumisprosessiin tehdyillä muutoksilla.

5. elokuuta 2020

Päivitetty Test Your Hybrid Data Security Deployment lokiviestien muutosten osalta.

Päivitetty Virtual Host Requirements poistamalla isäntien enimmäismäärä.

kesäkuu 16, 2020

Päivitetty Poista solmu Control Hub -käyttöliittymän muutosten vuoksi.

kesäkuu 4, 2020

Päivitetty Create a Configuration ISO for the HDS Hosts mahdollisten lisäasetusten muutosten vuoksi.

toukokuu 29, 2020

Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen kanssa, käyttöliittymämuutoksia ja muita selvennyksiä.

toukokuu 5, 2020

Päivitetty Virtual Host Requirements näyttämään ESXi 6.5:n uudet vaatimukset.

huhtikuu 21, 2020

Päivitetty Ulkoisen yhteyden vaatimukset uusilla Americas CI -isännillä.

huhtikuu 1, 2020

Päivitetty Ulkoisen yhteyden vaatimukset alueellisia CI-isäntiä koskevilla tiedoilla.

helmikuu 20, 2020 Päivitetty Create a Configuration ISO for the HDS Hosts ja lisätty tietoja HDS Setup Toolin uudesta valinnaisesta Advanced Settings -näytöstä.

helmikuu 4, 2020 Päivitetty Välityspalvelinvaatimukset.

joulukuu 16, 2019 Selkeytetty vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii osoitteessa Proxy Server Requirements.

19. marraskuuta 2019

Seuraaviin osioihin on lisätty tietoa estetystä ulkoisesta DNS-resoluutiotilasta:

Proxy-tuki
HDS-solmun määrittäminen välityspalvelimen integrointia varten
Sammuta estetty ulkoinen DNS-resoluutiotila

marraskuu 8, 2019

Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä vasta sen jälkeen.

Päivitetty seuraavat kohdat vastaavasti:

Hybriditietoturvan käyttöönoton tehtävävirta
Asenna HDS Host OVA
Hybriditietoturva VM:n määrittäminen

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

6. syyskuuta 2019

Lisätty SQL Server Standard osoitteeseen Tietokantapalvelinvaatimukset.

elokuu 29, 2019 Lisätty Configure Squid Proxies for Hybrid Data Security -liite, jossa on ohjeita Squid-välityspalvelimien määrittämisestä niin, että ne eivät huomioi websocket-liikennettä, jotta ne toimisivat oikein.

elokuu 20, 2019

Lisätty ja päivitetty osioita, jotka kattavat hybriditietoturvasolmujen välitystuen Webex-pilvipalvelimille.

Proxy-tuki
Välityspalvelimen vaatimukset
HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos haluat käyttää vain olemassa olevan käyttöönoton välitystuen sisältöä, katso Proxy Support for Hybrid Data Security and Webex Video Mesh -ohjeartikkeli.

kesäkuu 13, 2019 Päivitetty Trial to Production Task Flow muistutuksella synkronoida HdsTrialGroup -ryhmäobjekti ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia.

maaliskuu 6, 2019

Siirretty vaatimukset ja ennakkoedellytykset erilliseen lukuun, Valmistele ympäristö.
Lisätty Hybriditietoturvan käyttöönoton tehtävävirta yleiskatsaus lukuun Hybriditietoturvaklusterin perustaminen.

Huomaa, että ennen kuin käynnistät kokeilun (seuraavan luvun ohjeiden mukaisesti) solmusi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.
Lisätty Trial to Production Task Flow lukuun Run a Trial and Move to Production.

helmikuu 28, 2019

Korjattu palvelinkohtaisen paikallisen kiintolevytilan määrää, joka sinun tulisi varata valmistellessasi virtuaalisia isäntiä, joista tulee hybridi tietoturvasolmuja, 50 Gt:stä 20 Gt:iin, jotta se vastaa OVA:n luomaa levyn kokoa.

helmikuu 26, 2019

Hybriditietoturvasolmut tukevat nyt salattuja yhteyksiä PostgreSQL-tietokantapalvelimiin ja salattuja kirjausyhteyksiä TLS-yhteensopivaan syslog-palvelimeen. Päivitetty Create a Configuration ISO for the HDS Hosts ohjeineen.
Poistettiin kohde-URL-osoitteet taulukosta "Hybriditietoturvasolmujen VM:ien Internet-yhteysvaatimukset". Taulukko viittaa nyt luetteloon, jota ylläpidetään "Additional URLs for Webex Teams Hybrid Services" -taulukossa osoitteessa Network Requirements for Webex Teams Services.

tammikuu 24, 2019

Hybrid Data Security tukee nyt Microsoft SQL Serveriä tietokantana. SQL Serverin Always On (Always On Failover Clusters ja Always On Availability Groups) on tuettu JDBC-ajureilla, joita käytetään Hybrid Data Security -ohjelmassa. Lisätty sisältöä, joka liittyy käyttöönottoon SQL Serverin kanssa.

Microsoft SQL Server -tuki on tarkoitettu vain Hybrid Data Securityn uusiin käyttöönottoihin. Emme tällä hetkellä tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin olemassa olevassa käytössä.

5. marraskuuta 2018

Lisätty alustava vaihe olemassa olevien docker hds -instanssien siivoamiseksi osoitteessa Luo konfiguraatio-ISO HDS-isäntäasemille ja Muuta solmujen konfiguraatiota.
Päivitettiin avaimen käyttöoikeustaso vaiheessa Create a Configuration ISO for the HDS Hosts vastaamaan käyttöliittymää.

lokakuu 19, 2018

Jaa palomuuriyhteystiedot solmujen vaatimuksiin ja ISO-konfiguraatiokoneen vaatimuksiin osoitteessa . Täytä Hybriditietoturvan edellytykset.

heinäkuu 31, 2018

Lisätty portti 22 (SSH-yhteys) ja tietoja NAT- ja palomuuriyhteyksistä osoitteeseen Complete the Prerequisites for Hybrid Data Security.

toukokuu 21, 2018

Muutettu terminologiaa vastaamaan Cisco Sparkin brändinmuutosta:

Cisco Spark Hybrid Data Security on nyt Hybrid Data Security.
Cisco Spark -sovellus on nyt Webex App -sovellus.
Cisco Collaboraton Cloud on nyt Webex-pilvi.

huhtikuu 11, 2018

Lisätty Standby Data Center for Disaster Recovery.
Päivitetty Täydennä Hybriditietoturvan edellytykset määrittääksesi, että varmuuskopiointiympäristön on sijaittava eri datakeskuksessa.
Päivitetty Disaster Recovery käyttäen varalla olevaa datakeskusta.

helmikuu 22, 2018

Lisätty tietoja palvelutilien salasanojen 9 kuukauden käyttöajasta ja HDS Setup -työkalun käyttämisestä palvelutilien salasanojen nollaamiseen, kohdissa Create a Configuration ISO for the HDS Hosts ja Change the Node Configuration.

helmikuu 15, 2018

Määritä X.509 Certificate Requirements -taulukossa, että varmenne ei voi olla jokerimerkkivarmenne ja että KMS käyttää CN-toimialuetta, ei mitään x.509v3 SAN-kenttiin määritettyä toimialuetta.

tammikuu 18, 2018

Lisätty liite, Liikenne HDS-solmujen ja Cloudin välillä.
Poistettiin ratkaistu ongelma osoitteesta Known Issues for Hybrid Data Security.
Muutettiin index.docker.io muotoon *.docker.io ja lisättiin *.cloudfront.net HDS-solmujen TCP-yhteysvaatimusten luetteloon osoitteessa . Täydennä Hybriditietoturvan edellytykset.
Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että jos tietokantaisäntä ja Syslogd-palvelin eivät ole DNS-ratkaisukelpoisia HDS-solmuista, ne on määritettävä IP-osoitteiden avulla.

marraskuu 2, 2017

HdsTrialGroupin hakemistosynkronointia on selkeytetty.
Korjattu ohjeet ISO-kokoonpanotiedoston lataamisesta VM-solmujen asennusta varten.

elokuu 18, 2017

Julkaistu ensimmäisen kerran

Aloita hybridi-tietoturva

Yleiskatsaus hybriditietojen tietoturvaan

Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

***Erillisalueet (ilman hybriditietoturvaa)***

Jotta hybriditietoturvaa voitaisiin ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.
Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.
Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää asiakkaan merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavainten omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Turvallinen datakeskus maassa, joka on tuettu sijainti Cisco Webex Teams -suunnitelmille.
Laitteet, ohjelmistot ja verkkoyhteydet, jotka on kuvattu osoitteessa Prepare Your Environment.

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.
Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:

Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.
Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.
Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja niitä voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Tuemme vain yhtä klusteria per organisaatio.

Hybriditietoturvan kokeilutila

Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.

Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".

Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopioita klusterin hybriditietoturvasolmujen osalta.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa. — ***Manuaalinen viansiirto valmiustietokeskukseen***

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Aseta varalla oleva datakeskus katastrofihyötykäyttöä varten

Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:

Ennen kuin aloitat

Varatietokeskuksen tulisi peilata VM:ien tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokannan varmuuskopiota. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. (Yleiskatsaus tähän vikasietoisuuteen on osoitteessa Standby Data Center for Disaster Recovery .)
Varmista, että tietokannan synkronointi on käytössä aktiivisen ja passiivisen klusterin solmujen tietokantojen välillä.

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset on tarkoitus tehdä.

Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset).

Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.

 passiveMode: 'true'

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia..

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Tarkista syslogien avulla, että solmut ovat passiivisessa tilassa. Syslogeissa pitäisi näkyä viesti "KMS configured in passive mode".

Mitä tehdä seuraavaksi

Kun olet määrittänyt passiveMode ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode -määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode , voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Yksityiskohtainen vikasietoinen vikasietoisuusmenettely on osoitteessa Disaster Recovery using Standby Data Center .

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä ja ei-tarkistavia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.
Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:
1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.
2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.
3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:
  - HTTP-näkyy ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
  - HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.
4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:
  - Ei ole- Muita todennuksia ei tarvita.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
  - Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
    
    Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
    
    Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
  - Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.
    
    Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.
    
    Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvän tarkastuksen ja HTTPS:n nimenomaisen tarkastuksen välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Valmistele ympäristösi

Hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Hybriditietoturvan käyttöönotto:

Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten
Vaatimus	Tiedot
Luotettavan varmentajan (CA) allekirjoittama.	Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.
Karhut Common Name (CN) -verkkotunnus, joka yksilöi Hybrid Data Security -käyttöönoton. Ei ole jokerimerkkivarmenne	CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi `hds.company.com`. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä.
Muu kuin SHA1-allekirjoitus	KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.
Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi. Käytä ystävällistä nimeä `kms-private-key` merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.	Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen. Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.

Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.
HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.
HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).
Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus	Protokolla	Portti	Suunta sovelluksesta	Kohde
Hybriditietoturvasolmut	TCP	443	Lähtevä HTTPS ja WSS	Webex-palvelimet: .wbx2.com .ciscospark.com Kaikki Common Identity -isännät Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset
HDS-asennustyökalu	TCP	443	Lähtevä HTTPS	*.wbx2.com Kaikki Common Identity -isännät hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue	Yleiset identiteetin isäntä-URL-osoitteet
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Euroopan unioni	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Välityspalvelimen vaatimukset

Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

Eksplisiittinen proxy-Squid.

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:
- Ei todennusta HTTP:llä tai HTTPS:llä
- Perustodennus HTTP:llä tai HTTPS:llä
- Digest-todennus vain HTTPS:n kanssa
Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-yksiselitteisen välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.
HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.

Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).
Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:
- isännän nimi tai IP-osoite (host) ja portti.
- tietokannan nimi (dbname), johon avaimet tallennetaan.
- sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä HdsTrialGroup ja lisää pilottikäyttäjät. Kokeiluryhmässä voi olla enintään 250 käyttäjää. HdsTrialGroup -objekti on synkronoitava pilvipalveluun, ennen kuin voit aloittaa organisaatiosi kokeilun. Jos haluat synkronoida ryhmäkohteen, valitse se Directory Connectorin Configuration > Object Selection -valikossa. (Yksityiskohtaiset ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.)

Avaimet tietylle tilalle asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Häviö näkyy heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

Luo konfigurointi-ISO HDS-isäntäkoneille.

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

Hybriditietoturva VM:n määrittäminen

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luomastasi ISO-kokoonpanotiedostosta.

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.