Occasionnellement, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides : mise à jour des comptes d'ordinateur, mise à jour des certificats, mise à jour des paramètres de la base de données ou création d'une nouvelle configuration pour préparer un nouveau centre de données.
Le compte de l’ordinateur a été créé
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'ouverture du conteneur Docker. Ce tableau donne quelques variables d'environnement possibles :
Le référentiel Docker que nous utilisons pour l’outil de configuration HDS a été remplacé parciscocitg
en décembre 2022 (à partir deciscosparkhds
précédemmentDescription
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale qui chiffre la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds dans le guide de déploiement . |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |