Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

  • Mises à jour du compte machine

  • La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.

    Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.

  • La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

    Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

  • Créer une nouvelle configuration pour préparer un nouveau centre de données.

De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :

  • Réinitialisation logicielle—L'ancien et le nouveau mot de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.

  • Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.

Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.

Avant de commencer

  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

    Si l’outil d’installation HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, identifiants) via les variables de l’environnement Docker lors de la mise en place du conteneur Docker. Ce tableau fournit quelques variables possibles pour l’environnement :

    Le référentiel docker que nous utilisons pour l'outil de configuration HDS a été remplacé par ciscocitg en décembre 2022 (auparavant ciscosparkhds )

    Description

    Variable

    Proxy HTTP sans authentification

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Proxy HTTPS sans authentification

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Proxy HTTP avec authentification

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Proxy HTTPS avec authentification

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Vous avez besoin d'une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.

1

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

  1. À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

    Dans les environnements réguliers :

    docker rmi ciscocitg/hds-setup:stable

    Dans les environnements FedRAMP :

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

  2. Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

    connexion docker -u hdscustomersro

  3. À l’invite du mot de passe, saisissez ce hachage :

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Téléchargez la dernière image stable pour votre environnement :

    Dans les environnements réguliers :

    docker pull ciscocitg/hds-setup:stable

    Dans les environnements FedRAMP :

    docker pull ciscocitg/hds-setup-fedramp:stable

    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

  5. Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

    • Dans les environnements réguliers sans proxy :

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Dans les environnements réguliers avec un proxy HTTP :

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Dans les environnements réguliers avec un proxy HTTPS :

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Dans les environnements FedRAMP sans proxy :

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Dans les environnements FedRAMP avec un proxy HTTP :

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • Dans les environnements FedRAMP avec un proxy HTTPS :

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

  6. Utilisez un navigateur pour vous connecter à l’host local, http://127.0.0.1:8080.

    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost.

  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client Control Hub, puis cliquez sur Accepter pour continuer.

  8. Importez le fichier ISO de configuration actuel.

  9. Suivez les instructions pour compléter l'outil et télécharger le fichier mis à jour.

    Pour fermer l'outil d'installation, tapez sur CTRL+C.

  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

2

Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nodes dans le guide de déploiement.

  1. Installez l'hôte OVA HDS.

  2. Configurez la machine virtuelle HDS.

  3. Montez le fichier de configuration mis à jour.

  4. Enregistrer le nouveau nœud dans Control Hub.

3

Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

  1. arrêtez la machine virtuelle.

  2. Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

  3. Cliquez sur Lecteur CD/DVD 1, sélectionnez l'option de montage à partir d'un fichier ISO et accédez à l'emplacement où vous avez téléchargé le nouveau fichier ISO de configuration.

  4. Cochez Connexion à l'allumage.

  5. Enregistrez vos modifications et allumez la machine virtuelle.

4

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.