Modifier la configuration du nœud Hybrid Data Security

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Le compte de l’ordinateur a été créé
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'ouverture du conteneur Docker. Ce tableau donne quelques variables d'environnement possibles :

Le référentiel Docker que nous utilisons pour l’outil de configuration HDS a été remplacé par ciscocitg en décembre 2022 (à partir de ciscosparkhds précédemment

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale qui chiffre la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :
Dans les environnements normaux :
```
docker rmi ciscocitg/hds-setup:stable
```
Dans les environnements FedRAMP :
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.
Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds dans le guide de déploiement .

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.