- בית
- /
- מאמר
מידע חדש ומידע שהשתנה
תאריך | שינויים שבוצעו | ||
---|---|---|---|
20 באוקטובר 2023 |
| ||
07 באוגוסט 2023 |
| ||
23 במאי 2023 |
| ||
06 בדצמבר 2022 |
| ||
23 בנובמבר 2022 |
| ||
13 באוקטובר 2021 | שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker. | ||
24 ביוני 2021 | ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים. | ||
30 באפריל 2021 | שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים. | ||
24 בפברואר 2021 | כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים. | ||
2 בפברואר 2021 | HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים. | ||
11 בינואר 2021 | נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS. | ||
13 באוקטובר 2020 | עודכנו קובצי התקנה להורדה. | ||
8 באוקטובר 2020 | עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP. | ||
14 באוגוסט 2020 | עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה. | ||
5 באוגוסט 2020 | עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום. עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי. | ||
16 ביוני 2020 | עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub. | ||
4 ביוני 2020 | עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר. | ||
29 במאי 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות. | ||
5 במאי 2020 | עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5. | ||
21 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים. | ||
1 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים. | ||
20 בפברואר 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS. | ||
4 בפברואר 2020 | דרישות שרת Proxy מעודכנות. | ||
16 בדצמבר 2019 | הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy. | ||
19 בנובמבר 2019 | נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים: | ||
8 בנובמבר 2019 | כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן. הסעיפים הבאים עודכנו בהתאם:
| ||
6 בספטמבר 2019 | נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים. | ||
29 באוגוסט 2019 | נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה. | ||
20 באוגוסט 2019 | מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex. כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh . | ||
13 ביוני 2019 | עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים. | ||
6 במרץ 2019 |
| ||
פברואר 28, 2019 |
| ||
26 בפברואר 2019 |
| ||
24 בינואר 2019 |
| ||
5 בנובמבר 2018 |
| ||
19 באוקטובר 2018 |
| ||
31 ביולי 2018 |
| ||
21 במאי 2018 | טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:
| ||
11 באפריל 2018 |
| ||
22 בפברואר 2018 |
| ||
15 בפברואר 2018 |
| ||
18 בינואר 2018 |
| ||
2 בנובמבר 2017 |
| ||
18 באוגוסט 2017 | פורסם לראשונה |
סקירה כללית של אבטחת נתונים היברידיים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.
אדריכלות תחום אבטחה
ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.
כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.
שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.
אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:
נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.
אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS. |
תהליך הגדרה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:
הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)
מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).
כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.
הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
אנו תומכים רק באשכול אחד לכל ארגון.
מצב גרסת ניסיון של אבטחת נתונים היברידיים
לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.
אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.
אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.
מרכז נתונים במצב המתנה להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.
מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.
צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל. |
הגדרת מרכז נתונים המתנה להתאוששות מאסון
בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:
לפני שתתחיל
מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.
| ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
לאחר קביעת התצורה passiveMode
בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode
תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode
התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.
תמיכת פרוקסי
אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:
ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
סוג אימות—בחר מבין סוגי האימות הבאים:
ללא-נדרש אימות נוסף.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy
תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.
מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.
דרישות לאבטחת נתונים היברידיים
דרישות רישיון של Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים:
עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן העבודה של Docker
לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".
דרישות תעודה X.509
שרשרת התעודות חייבת לעמוד בדרישות הבאות:
דרישה | פרטים |
---|---|
| כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs. |
| ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור. |
| תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים. |
| באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:
לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים. |
קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:
PostgreSQL | שרת Microsoft SQL | ||
---|---|---|---|
|
| ||
מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) | מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL | שרת Microsoft SQL |
---|---|
נהג JDBC Postgres 42.2.5 | מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups). |
דרישות נוספות לאימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:
כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.
כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצוניות
הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום | פרוטוקול | יציאה | כיוון מהיישום | יעד |
---|---|---|---|---|
צמתי אבטחת נתונים היברידיים | TCP | 443 | HTTPS יוצא ו-WSS |
|
כלי הגדרת HDS | TCP | 443 | HTTPS יוצא |
|
צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול. |
כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור | כתובות URL של מארח זהות משותפת |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
דרישות שרת Proxy
אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).
פרוקסי מפורש - סקוויד.
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.
אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
אין אימות עם HTTP או HTTPS
אימות בסיסי עם HTTP או HTTPS
תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל
wbx2.com
ו-ciscospark.com
יפתור את הבעיה.
השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
1 | ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה. | ||
2 | בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, | ||
3 | הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים. | ||
4 | הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים. | ||
5 | לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. | ||
6 | הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514). | ||
7 | צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.
לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי. | ||
8 | ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות. | ||
9 | התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף. כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות. | ||
10 | אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy. | ||
11 | אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת
|
זרימת משימה של אבטחת נתונים היברידיים
לפני שתתחיל
1 |
הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר. | ||
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים. | ||
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.
| ||
4 | הגדר את VM של אבטחת הנתונים ההיברידיים היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA. | ||
5 | העלה והעבר את תצורת ה-ISO של HDS הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS. | ||
6 | הגדרת תצורת צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. | ||
7 |
רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים. | ||
8 |
השלם את הגדרת האשכול. | ||
9 | הפעל משפט ועבר לייצור (הפרק הבא) עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל. |
הורד קובצי התקנה
1 | היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים. | ||||
2 | בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר. אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.
| ||||
3 | בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא. קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
| ||||
4 | לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
אישורי מסד נתונים
עדכוני תעודה
שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.
1 | בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
2 | כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
| ||||||||||||
3 | בהנחיית הסיסמה, הזן את ה-hash הזה:
| ||||||||||||
4 | הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
5 | כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:
כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080." | ||||||||||||
6 |
השתמש בדפדפן אינטרנט כדי לעבור אל localhost, הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית. | ||||||||||||
7 | כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. | ||||||||||||
8 | בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||||
9 | בדף הייבוא של ISO , יש לך את האפשרויות הבאות:
| ||||||||||||
10 | בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.
| ||||||||||||
11 | הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך: | ||||||||||||
12 | בחר מצב חיבור למסד הנתונים של TLS:
כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.) | ||||||||||||
13 | בדף יומני המערכת, קבע את תצורת שרת Syslogd: | ||||||||||||
14 | (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:
| ||||||||||||
15 | לחץ על המשך במסך איפוס סיסמת חשבונות שירות. לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||||
16 | לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר. | ||||||||||||
17 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||||||||||||
18 | כדי לכבות את כלי ההתקנה, הקלד |
מה הלאה?
גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.
אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו. |
התקן את HDS Host OVA
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi. | ||||||
2 | בחר קובץ > פרוס תבנית OVF. | ||||||
3 | באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא. | ||||||
4 | ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. | ||||||
5 | ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא. בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים. | ||||||
6 | אמת את פרטי התבנית ולאחר מכן לחץ על הבא. | ||||||
7 | אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא. | ||||||
8 | ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM. | ||||||
9 | ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. | ||||||
10 | בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.
| ||||||
11 | לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. עצות לפתרון בעיות ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס. |
הגדר את VM של אבטחת הנתונים ההיברידיים
השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.
1 | בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
|
2 | השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 | אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה. |
4 | הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך. |
5 | (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509. |
6 | שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והעבר את תצורת ה-ISO של HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.
1 | העלה את קובץ ה-ISO מהמחשב: |
2 | חיבור קובץ ה-ISO: |
מה הלאה?
אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.
הגדרת תצורת צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.
לפני שתתחיל
עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
1 | הזן את כתובת ה-URL של הגדרת צומת HDS |
2 | עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS. |
3 | לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש. |
4 | לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה. |
5 | לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות. |
6 | לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות. |
7 | לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy. |
רשום את הצומת הראשון באשכול
בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | היכנס אל https://admin.webex.com. |
2 | בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים. |
3 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
|
4 | בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא. |
5 | בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 | בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
|
7 | לחץ על עבור אל צומת. |
8 | לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
|
9 | בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
10 | לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום עוד צמתים
בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center. |
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA. |
2 | הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים. |
3 | ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO. |
4 | אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 | רשום את הצומת. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
|
מה הלאה?
גרסת ניסיון לזרימת משימת ייצור
לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.
לפני שתתחיל
1 | אם רלוונטי, סנכרן את אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את |
2 |
התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל. |
3 | בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
4 | ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות. |
5 | |
6 | השלם את שלב הניסיון באחת מהפעולות הבאות: |
הפעל גרסת ניסיון
לפני שתתחיל
אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup
אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
1 | היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
|
4 | לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
1 | מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.
| ||
2 | שלח הודעות למרחב החדש. | ||
3 | בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור בריאות אבטחת נתונים היברידיים
1 | ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
|
3 | במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter. |
הוסף או הסר משתמשים מגרסת הניסיון שלך
אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.
אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup
; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון. |
4 | הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור . |
מעבר מגרסת ניסיון לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על העבר להפקה. |
4 | אשר שברצונך להעביר את כל המשתמשים שלך לייצור. |
סיים את גרסת הניסיון שלך מבלי לעבור לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'השבת', לחצו על השבת. |
4 | אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון. |
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 | היכנס אל רכזת בקרה . |
2 | בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' . |
3 | בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
4 | בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול. |
5 | בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה. |
שינוי תצורת הצומת
שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.
אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.
עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:
איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.
אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.
1 | באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS. |
2 | אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים. |
3 | עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא: |
4 | חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
כבה מצב רזולוציה של DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.
לפני שתתחיל
1 | בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה. |
2 | עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן . |
3 | עבור אל הדף של Trust Store ו-Proxy . |
4 | לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא. |
מה הלאה?
הסר צומת
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי. |
2 | הסר את הצומת: |
3 | בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.) אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS. | ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS
תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.
אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.
לפני שתתחיל
שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.
1 | כבה את אחד מצמתי ה-HDS שלך. |
2 | ב-vCenter Server Appliance, בחר את צומת HDS. |
3 | בחר Datastore ISO קובץ. ובטל את |
4 | מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 | חזור עבור כל צומת HDS בתורו. |
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:
לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.
התראות
אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.
התראה | פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות. |
כשל בחיבור מסד נתונים מקומי. |
בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות. |
חידוש רישום שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן ירד. |
הרישום לשירותי הענן הסתיים. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור. |
הדומיין שהוגדר לא תואם לתעודת השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית. |
אימות מול שירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ Keystore מקומי נכשלה. |
בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי. |
תעודת שרת מקומית אינה חוקית. |
בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
הספרייה /media/configdrive/hds לא קיימת. |
בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה. |
פתרון בעיות באבטחת נתונים היברידיים
1 | סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם. |
2 | סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים. |
3 | פנה לתמיכה של Cisco. |
בעיות מוכרות עבור אבטחת נתונים היברידיים
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.
אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).
השתמש ב-OpenSSL ליצירת קובץ PKCS12
לפני שתתחיל
OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 | כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- |
2 | הצג את האישור כטקסט ואמת את הפרטים.
|
3 | השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא
|
4 | צור את קובץ ה-.p12 עם השם הידידותי
|
5 | בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12
קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.
באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג. |
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצא
צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).
תעבורה נכנסת
צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת
קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים
Websocket לא יכול להתחבר דרך Proxy של סקוויד
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:
) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss:
תעבורה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
הנחיה אל squid.conf
:
on_unsupported_protocol tunnel all
דיונון 3.5.27
בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf
. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
מידע חדש ומידע שהשתנה
תאריך | שינויים שבוצעו | ||
---|---|---|---|
20 באוקטובר 2023 |
| ||
07 באוגוסט 2023 |
| ||
23 במאי 2023 |
| ||
06 בדצמבר 2022 |
| ||
23 בנובמבר 2022 |
| ||
13 באוקטובר 2021 | שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker. | ||
24 ביוני 2021 | ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים. | ||
30 באפריל 2021 | שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים. | ||
24 בפברואר 2021 | כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים. | ||
2 בפברואר 2021 | HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים. | ||
11 בינואר 2021 | נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS. | ||
13 באוקטובר 2020 | עודכנו קובצי התקנה להורדה. | ||
8 באוקטובר 2020 | עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP. | ||
14 באוגוסט 2020 | עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה. | ||
5 באוגוסט 2020 | עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום. עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי. | ||
16 ביוני 2020 | עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub. | ||
4 ביוני 2020 | עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר. | ||
29 במאי 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות. | ||
5 במאי 2020 | עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5. | ||
21 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים. | ||
1 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים. | ||
20 בפברואר 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS. | ||
4 בפברואר 2020 | דרישות שרת Proxy מעודכנות. | ||
16 בדצמבר 2019 | הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy. | ||
19 בנובמבר 2019 | נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים: | ||
8 בנובמבר 2019 | כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן. הסעיפים הבאים עודכנו בהתאם:
| ||
6 בספטמבר 2019 | נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים. | ||
29 באוגוסט 2019 | נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה. | ||
20 באוגוסט 2019 | מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex. כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh . | ||
13 ביוני 2019 | עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים. | ||
6 במרץ 2019 |
| ||
פברואר 28, 2019 |
| ||
26 בפברואר 2019 |
| ||
24 בינואר 2019 |
| ||
5 בנובמבר 2018 |
| ||
19 באוקטובר 2018 |
| ||
31 ביולי 2018 |
| ||
21 במאי 2018 | טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:
| ||
11 באפריל 2018 |
| ||
22 בפברואר 2018 |
| ||
15 בפברואר 2018 |
| ||
18 בינואר 2018 |
| ||
2 בנובמבר 2017 |
| ||
18 באוגוסט 2017 | פורסם לראשונה |
סקירה כללית של אבטחת נתונים היברידיים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.
אדריכלות תחום אבטחה
ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.
כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.
שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.
אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:
נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.
אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS. |
תהליך הגדרה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:
הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)
מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).
כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.
הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
אנו תומכים רק באשכול אחד לכל ארגון.
מצב גרסת ניסיון של אבטחת נתונים היברידיים
לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.
אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.
אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.
מרכז נתונים במצב המתנה להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.
מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.
צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל. |
הגדרת מרכז נתונים המתנה להתאוששות מאסון
בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:
לפני שתתחיל
מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.
| ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
לאחר קביעת התצורה passiveMode
בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode
תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode
התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.
תמיכת פרוקסי
אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:
ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
סוג אימות—בחר מבין סוגי האימות הבאים:
ללא-נדרש אימות נוסף.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy
תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.
מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.
דרישות לאבטחת נתונים היברידיים
דרישות רישיון של Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים:
עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן העבודה של Docker
לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".
דרישות תעודה X.509
שרשרת התעודות חייבת לעמוד בדרישות הבאות:
דרישה | פרטים |
---|---|
| כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs. |
| ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור. |
| תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים. |
| באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:
לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים. |
קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:
PostgreSQL | שרת Microsoft SQL | ||
---|---|---|---|
|
| ||
מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) | מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL | שרת Microsoft SQL |
---|---|
נהג JDBC Postgres 42.2.5 | מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups). |
דרישות נוספות לאימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:
כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.
כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצוניות
הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום | פרוטוקול | יציאה | כיוון מהיישום | יעד |
---|---|---|---|---|
צמתי אבטחת נתונים היברידיים | TCP | 443 | HTTPS יוצא ו-WSS |
|
כלי הגדרת HDS | TCP | 443 | HTTPS יוצא |
|
צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול. |
כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור | כתובות URL של מארח זהות משותפת |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
דרישות שרת Proxy
אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).
פרוקסי מפורש - סקוויד.
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.
אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
אין אימות עם HTTP או HTTPS
אימות בסיסי עם HTTP או HTTPS
תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל
wbx2.com
ו-ciscospark.com
יפתור את הבעיה.
השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
1 | ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה. | ||
2 | בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, | ||
3 | הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים. | ||
4 | הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים. | ||
5 | לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. | ||
6 | הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514). | ||
7 | צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.
לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי. | ||
8 | ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות. | ||
9 | התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף. כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות. | ||
10 | אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy. | ||
11 | אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת
|
זרימת משימה של אבטחת נתונים היברידיים
לפני שתתחיל
1 |
הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר. | ||
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים. | ||
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.
| ||
4 | הגדר את VM של אבטחת הנתונים ההיברידיים היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA. | ||
5 | העלה והעבר את תצורת ה-ISO של HDS הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS. | ||
6 | הגדרת תצורת צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. | ||
7 |
רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים. | ||
8 |
השלם את הגדרת האשכול. | ||
9 | הפעל משפט ועבר לייצור (הפרק הבא) עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל. |
הורד קובצי התקנה
1 | היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים. | ||||
2 | בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר. אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.
| ||||
3 | בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא. קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
| ||||
4 | לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
אישורי מסד נתונים
עדכוני תעודה
שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.
1 | בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
2 | כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
| ||||||||||||
3 | בהנחיית הסיסמה, הזן את ה-hash הזה:
| ||||||||||||
4 | הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
5 | כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:
כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080." | ||||||||||||
6 |
השתמש בדפדפן אינטרנט כדי לעבור אל localhost, הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית. | ||||||||||||
7 | כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. | ||||||||||||
8 | בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||||
9 | בדף הייבוא של ISO , יש לך את האפשרויות הבאות:
| ||||||||||||
10 | בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.
| ||||||||||||
11 | הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך: | ||||||||||||
12 | בחר מצב חיבור למסד הנתונים של TLS:
כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.) | ||||||||||||
13 | בדף יומני המערכת, קבע את תצורת שרת Syslogd: | ||||||||||||
14 | (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:
| ||||||||||||
15 | לחץ על המשך במסך איפוס סיסמת חשבונות שירות. לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||||
16 | לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר. | ||||||||||||
17 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||||||||||||
18 | כדי לכבות את כלי ההתקנה, הקלד |
מה הלאה?
גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.
אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו. |
התקן את HDS Host OVA
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi. | ||||||
2 | בחר קובץ > פרוס תבנית OVF. | ||||||
3 | באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא. | ||||||
4 | ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. | ||||||
5 | ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא. בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים. | ||||||
6 | אמת את פרטי התבנית ולאחר מכן לחץ על הבא. | ||||||
7 | אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא. | ||||||
8 | ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM. | ||||||
9 | ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. | ||||||
10 | בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.
| ||||||
11 | לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. עצות לפתרון בעיות ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס. |
הגדר את VM של אבטחת הנתונים ההיברידיים
השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.
1 | בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
|
2 | השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 | אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה. |
4 | הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך. |
5 | (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509. |
6 | שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והעבר את תצורת ה-ISO של HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.
1 | העלה את קובץ ה-ISO מהמחשב: |
2 | חיבור קובץ ה-ISO: |
מה הלאה?
אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.
הגדרת תצורת צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.
לפני שתתחיל
עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
1 | הזן את כתובת ה-URL של הגדרת צומת HDS |
2 | עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS. |
3 | לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש. |
4 | לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה. |
5 | לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות. |
6 | לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות. |
7 | לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy. |
רשום את הצומת הראשון באשכול
בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | היכנס אל https://admin.webex.com. |
2 | בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים. |
3 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
|
4 | בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא. |
5 | בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 | בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
|
7 | לחץ על עבור אל צומת. |
8 | לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
|
9 | בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
10 | לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום עוד צמתים
בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center. |
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA. |
2 | הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים. |
3 | ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO. |
4 | אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 | רשום את הצומת. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
|
מה הלאה?
גרסת ניסיון לזרימת משימת ייצור
לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.
לפני שתתחיל
1 | אם רלוונטי, סנכרן את אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את |
2 |
התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל. |
3 | בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
4 | ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות. |
5 | |
6 | השלם את שלב הניסיון באחת מהפעולות הבאות: |
הפעל גרסת ניסיון
לפני שתתחיל
אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup
אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
1 | היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
|
4 | לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
1 | מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.
| ||
2 | שלח הודעות למרחב החדש. | ||
3 | בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור בריאות אבטחת נתונים היברידיים
1 | ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
|
3 | במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter. |
הוסף או הסר משתמשים מגרסת הניסיון שלך
אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.
אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup
; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון. |
4 | הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור . |
מעבר מגרסת ניסיון לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על העבר להפקה. |
4 | אשר שברצונך להעביר את כל המשתמשים שלך לייצור. |
סיים את גרסת הניסיון שלך מבלי לעבור לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'השבת', לחצו על השבת. |
4 | אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון. |
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 | היכנס אל רכזת בקרה . |
2 | בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' . |
3 | בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
4 | בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול. |
5 | בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה. |
שינוי תצורת הצומת
שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.
אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.
עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:
איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.
אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.
1 | באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS. |
2 | אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים. |
3 | עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא: |
4 | חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
כבה מצב רזולוציה של DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.
לפני שתתחיל
1 | בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה. |
2 | עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן . |
3 | עבור אל הדף של Trust Store ו-Proxy . |
4 | לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא. |
מה הלאה?
הסר צומת
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי. |
2 | הסר את הצומת: |
3 | בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.) אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS. | ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS
תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.
אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.
לפני שתתחיל
שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.
1 | כבה את אחד מצמתי ה-HDS שלך. |
2 | ב-vCenter Server Appliance, בחר את צומת HDS. |
3 | בחר Datastore ISO קובץ. ובטל את |
4 | מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 | חזור עבור כל צומת HDS בתורו. |
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:
לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.
התראות
אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.
התראה | פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות. |
כשל בחיבור מסד נתונים מקומי. |
בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות. |
חידוש רישום שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן ירד. |
הרישום לשירותי הענן הסתיים. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור. |
הדומיין שהוגדר לא תואם לתעודת השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית. |
אימות מול שירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ Keystore מקומי נכשלה. |
בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי. |
תעודת שרת מקומית אינה חוקית. |
בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
הספרייה /media/configdrive/hds לא קיימת. |
בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה. |
פתרון בעיות באבטחת נתונים היברידיים
1 | סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם. |
2 | סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים. |
3 | פנה לתמיכה של Cisco. |
בעיות מוכרות עבור אבטחת נתונים היברידיים
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.
אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).
השתמש ב-OpenSSL ליצירת קובץ PKCS12
לפני שתתחיל
OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 | כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- |
2 | הצג את האישור כטקסט ואמת את הפרטים.
|
3 | השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא
|
4 | צור את קובץ ה-.p12 עם השם הידידותי
|
5 | בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12
קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.
באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג. |
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצא
צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).
תעבורה נכנסת
צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת
קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים
Websocket לא יכול להתחבר דרך Proxy של סקוויד
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:
) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss:
תעבורה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
הנחיה אל squid.conf
:
on_unsupported_protocol tunnel all
דיונון 3.5.27
בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf
. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
מידע חדש ומידע שהשתנה
תאריך | שינויים שבוצעו | ||
---|---|---|---|
20 באוקטובר 2023 |
| ||
07 באוגוסט 2023 |
| ||
23 במאי 2023 |
| ||
06 בדצמבר 2022 |
| ||
23 בנובמבר 2022 |
| ||
13 באוקטובר 2021 | שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker. | ||
24 ביוני 2021 | ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים. | ||
30 באפריל 2021 | שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים. | ||
24 בפברואר 2021 | כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים. | ||
2 בפברואר 2021 | HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים. | ||
11 בינואר 2021 | נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS. | ||
13 באוקטובר 2020 | עודכנו קובצי התקנה להורדה. | ||
8 באוקטובר 2020 | עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP. | ||
14 באוגוסט 2020 | עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה. | ||
5 באוגוסט 2020 | עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום. עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי. | ||
16 ביוני 2020 | עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub. | ||
4 ביוני 2020 | עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר. | ||
29 במאי 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות. | ||
5 במאי 2020 | עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5. | ||
21 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים. | ||
1 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים. | ||
20 בפברואר 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS. | ||
4 בפברואר 2020 | דרישות שרת Proxy מעודכנות. | ||
16 בדצמבר 2019 | הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy. | ||
19 בנובמבר 2019 | נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים: | ||
8 בנובמבר 2019 | כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן. הסעיפים הבאים עודכנו בהתאם:
| ||
6 בספטמבר 2019 | נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים. | ||
29 באוגוסט 2019 | נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה. | ||
20 באוגוסט 2019 | מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex. כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh . | ||
13 ביוני 2019 | עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים. | ||
6 במרץ 2019 |
| ||
פברואר 28, 2019 |
| ||
26 בפברואר 2019 |
| ||
24 בינואר 2019 |
| ||
5 בנובמבר 2018 |
| ||
19 באוקטובר 2018 |
| ||
31 ביולי 2018 |
| ||
21 במאי 2018 | טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:
| ||
11 באפריל 2018 |
| ||
22 בפברואר 2018 |
| ||
15 בפברואר 2018 |
| ||
18 בינואר 2018 |
| ||
2 בנובמבר 2017 |
| ||
18 באוגוסט 2017 | פורסם לראשונה |
סקירה כללית של אבטחת נתונים היברידיים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.
אדריכלות תחום אבטחה
ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.
כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.
שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.
אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:
נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.
אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS. |
תהליך הגדרה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:
הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)
מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).
כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.
הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
אנו תומכים רק באשכול אחד לכל ארגון.
מצב גרסת ניסיון של אבטחת נתונים היברידיים
לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.
אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.
אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.
מרכז נתונים במצב המתנה להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.
מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.
צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל. |
הגדרת מרכז נתונים המתנה להתאוששות מאסון
בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:
לפני שתתחיל
מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.
| ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
לאחר קביעת התצורה passiveMode
בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode
תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode
התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.
תמיכת פרוקסי
אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:
ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
סוג אימות—בחר מבין סוגי האימות הבאים:
ללא-נדרש אימות נוסף.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy
תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.
מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.
דרישות לאבטחת נתונים היברידיים
דרישות רישיון של Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים:
עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן העבודה של Docker
לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".
דרישות תעודה X.509
שרשרת התעודות חייבת לעמוד בדרישות הבאות:
דרישה | פרטים |
---|---|
| כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs. |
| ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור. |
| תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים. |
| באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:
לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים. |
קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:
PostgreSQL | שרת Microsoft SQL | ||
---|---|---|---|
|
| ||
מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) | מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL | שרת Microsoft SQL |
---|---|
נהג JDBC Postgres 42.2.5 | מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups). |
דרישות נוספות לאימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:
כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.
כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצוניות
הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום | פרוטוקול | יציאה | כיוון מהיישום | יעד |
---|---|---|---|---|
צמתי אבטחת נתונים היברידיים | TCP | 443 | HTTPS יוצא ו-WSS |
|
כלי הגדרת HDS | TCP | 443 | HTTPS יוצא |
|
צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול. |
כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור | כתובות URL של מארח זהות משותפת |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
דרישות שרת Proxy
אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).
פרוקסי מפורש - סקוויד.
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.
אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
אין אימות עם HTTP או HTTPS
אימות בסיסי עם HTTP או HTTPS
תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל
wbx2.com
ו-ciscospark.com
יפתור את הבעיה.
השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
1 | ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה. | ||
2 | בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, | ||
3 | הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים. | ||
4 | הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים. | ||
5 | לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. | ||
6 | הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514). | ||
7 | צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.
לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי. | ||
8 | ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות. | ||
9 | התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף. כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות. | ||
10 | אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy. | ||
11 | אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת
|
זרימת משימה של אבטחת נתונים היברידיים
לפני שתתחיל
1 |
הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר. | ||
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים. | ||
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.
| ||
4 | הגדר את VM של אבטחת הנתונים ההיברידיים היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA. | ||
5 | העלה והעבר את תצורת ה-ISO של HDS הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS. | ||
6 | הגדרת תצורת צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. | ||
7 |
רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים. | ||
8 |
השלם את הגדרת האשכול. | ||
9 | הפעל משפט ועבר לייצור (הפרק הבא) עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל. |
הורד קובצי התקנה
1 | היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים. | ||||
2 | בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר. אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.
| ||||
3 | בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא. קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
| ||||
4 | לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
אישורי מסד נתונים
עדכוני תעודה
שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.
1 | בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
2 | כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
| ||||||||||||
3 | בהנחיית הסיסמה, הזן את ה-hash הזה:
| ||||||||||||
4 | הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
5 | כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:
כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080." | ||||||||||||
6 |
השתמש בדפדפן אינטרנט כדי לעבור אל localhost, הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית. | ||||||||||||
7 | כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. | ||||||||||||
8 | בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||||
9 | בדף הייבוא של ISO , יש לך את האפשרויות הבאות:
| ||||||||||||
10 | בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.
| ||||||||||||
11 | הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך: | ||||||||||||
12 | בחר מצב חיבור למסד הנתונים של TLS:
כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.) | ||||||||||||
13 | בדף יומני המערכת, קבע את תצורת שרת Syslogd: | ||||||||||||
14 | (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:
| ||||||||||||
15 | לחץ על המשך במסך איפוס סיסמת חשבונות שירות. לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||||
16 | לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר. | ||||||||||||
17 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||||||||||||
18 | כדי לכבות את כלי ההתקנה, הקלד |
מה הלאה?
גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.
אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו. |
התקן את HDS Host OVA
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi. | ||||||
2 | בחר קובץ > פרוס תבנית OVF. | ||||||
3 | באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא. | ||||||
4 | ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. | ||||||
5 | ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא. בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים. | ||||||
6 | אמת את פרטי התבנית ולאחר מכן לחץ על הבא. | ||||||
7 | אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא. | ||||||
8 | ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM. | ||||||
9 | ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. | ||||||
10 | בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.
| ||||||
11 | לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. עצות לפתרון בעיות ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס. |
הגדר את VM של אבטחת הנתונים ההיברידיים
השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.
1 | בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
|
2 | השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 | אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה. |
4 | הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך. |
5 | (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509. |
6 | שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והעבר את תצורת ה-ISO של HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.
1 | העלה את קובץ ה-ISO מהמחשב: |
2 | חיבור קובץ ה-ISO: |
מה הלאה?
אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.
הגדרת תצורת צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.
לפני שתתחיל
עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
1 | הזן את כתובת ה-URL של הגדרת צומת HDS |
2 | עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS. |
3 | לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש. |
4 | לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה. |
5 | לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות. |
6 | לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות. |
7 | לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy. |
רשום את הצומת הראשון באשכול
בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | היכנס אל https://admin.webex.com. |
2 | בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים. |
3 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
|
4 | בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא. |
5 | בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 | בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
|
7 | לחץ על עבור אל צומת. |
8 | לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
|
9 | בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
10 | לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום עוד צמתים
בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center. |
לפני שתתחיל
לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 | צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA. |
2 | הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים. |
3 | ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO. |
4 | אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 | רשום את הצומת. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
|
מה הלאה?
גרסת ניסיון לזרימת משימת ייצור
לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.
לפני שתתחיל
1 | אם רלוונטי, סנכרן את אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את |
2 |
התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל. |
3 | בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
4 | ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות. |
5 | |
6 | השלם את שלב הניסיון באחת מהפעולות הבאות: |
הפעל גרסת ניסיון
לפני שתתחיל
אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup
אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
1 | היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
|
4 | לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
1 | מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.
| ||
2 | שלח הודעות למרחב החדש. | ||
3 | בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור בריאות אבטחת נתונים היברידיים
1 | ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 | בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
|
3 | במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter. |
הוסף או הסר משתמשים מגרסת הניסיון שלך
אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.
אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup
; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון. |
4 | הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור . |
מעבר מגרסת ניסיון לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'סטטוס שירות', לחץ על העבר להפקה. |
4 | אשר שברצונך להעביר את כל המשתמשים שלך לייצור. |
סיים את גרסת הניסיון שלך מבלי לעבור לייצור
1 | היכנס ל-Control Hub ובחר שירותים. |
2 | תחת אבטחת נתונים היברידיים, לחצו על הגדרות. |
3 | בקטע 'השבת', לחצו על השבת. |
4 | אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון. |
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 | היכנס אל רכזת בקרה . |
2 | בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' . |
3 | בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
4 | בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול. |
5 | בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה. |
שינוי תצורת הצומת
שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.
אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.
עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:
איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.
אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.
1 | באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS. |
2 | אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים. |
3 | עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא: |
4 | חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
כבה מצב רזולוציה של DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.
לפני שתתחיל
1 | בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה. |
2 | עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן . |
3 | עבור אל הדף של Trust Store ו-Proxy . |
4 | לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא. |
מה הלאה?
הסר צומת
1 | השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי. |
2 | הסר את הצומת: |
3 | בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.) אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS. | ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS
תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.
אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.
לפני שתתחיל
שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.
1 | כבה את אחד מצמתי ה-HDS שלך. |
2 | ב-vCenter Server Appliance, בחר את צומת HDS. |
3 | בחר Datastore ISO קובץ. ובטל את |
4 | מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 | חזור עבור כל צומת HDS בתורו. |
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:
לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.
התראות
אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.
התראה | פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות. |
כשל בחיבור מסד נתונים מקומי. |
בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות. |
חידוש רישום שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן ירד. |
הרישום לשירותי הענן הסתיים. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור. |
הדומיין שהוגדר לא תואם לתעודת השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית. |
אימות מול שירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ Keystore מקומי נכשלה. |
בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי. |
תעודת שרת מקומית אינה חוקית. |
בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
הספרייה /media/configdrive/hds לא קיימת. |
בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה. |
פתרון בעיות באבטחת נתונים היברידיים
1 | סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם. |
2 | סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים. |
3 | פנה לתמיכה של Cisco. |
בעיות מוכרות עבור אבטחת נתונים היברידיים
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.
אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).
השתמש ב-OpenSSL ליצירת קובץ PKCS12
לפני שתתחיל
OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 | כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- |
2 | הצג את האישור כטקסט ואמת את הפרטים.
|
3 | השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא
|
4 | צור את קובץ ה-.p12 עם השם הידידותי
|
5 | בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12
קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.
באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג. |
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצא
צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).
תעבורה נכנסת
צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת
קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים
Websocket לא יכול להתחבר דרך Proxy של סקוויד
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:
) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss:
תעבורה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
הנחיה אל squid.conf
:
on_unsupported_protocol tunnel all
דיונון 3.5.27
בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf
. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
מידע חדש ומידע שהשתנה
תאריך | שינויים שבוצעו | ||
---|---|---|---|
20 באוקטובר 2023 |
| ||
07 באוגוסט 2023 |
| ||
23 במאי 2023 |
| ||
06 בדצמבר 2022 |
| ||
23 בנובמבר 2022 |
| ||
13 באוקטובר 2021 | שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker. | ||
24 ביוני 2021 | ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים. | ||
30 באפריל 2021 | שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים. | ||
24 בפברואר 2021 | כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים. | ||
2 בפברואר 2021 | HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים. | ||
11 בינואר 2021 | נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS. | ||
13 באוקטובר 2020 | עודכנו קובצי התקנה להורדה. | ||
8 באוקטובר 2020 | עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP. | ||
14 באוגוסט 2020 | עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה. | ||
5 באוגוסט 2020 | עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום. עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי. | ||
16 ביוני 2020 | עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub. | ||
4 ביוני 2020 | עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר. | ||
29 במאי 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות. | ||
5 במאי 2020 | עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5. | ||
21 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים. | ||
1 באפריל 2020 | עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים. | ||
20 בפברואר 2020 | עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS. | ||
4 בפברואר 2020 | דרישות שרת Proxy מעודכנות. | ||
16 בדצמבר 2019 | הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy. | ||
19 בנובמבר 2019 | נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים: | ||
8 בנובמבר 2019 | כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן. הסעיפים הבאים עודכנו בהתאם:
| ||
6 בספטמבר 2019 | נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים. | ||
29 באוגוסט 2019 | נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה. | ||
20 באוגוסט 2019 | מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex. כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh . | ||
13 ביוני 2019 | עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים. | ||
6 במרץ 2019 |
| ||
פברואר 28, 2019 |
| ||
26 בפברואר 2019 |
| ||
24 בינואר 2019 |
| ||
5 בנובמבר 2018 |
| ||
19 באוקטובר 2018 |
| ||
31 ביולי 2018 |
| ||
21 במאי 2018 | טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:
| ||
11 באפריל 2018 |
| ||
22 בפברואר 2018 |
| ||
15 בפברואר 2018 |
| ||
18 בינואר 2018 |
| ||
2 בנובמבר 2017 |
| ||
18 באוגוסט 2017 | פורסם לראשונה |
סקירה כללית של אבטחת נתונים היברידיים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.
אדריכלות תחום אבטחה
ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.
כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.
שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.
אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:
נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.
אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS. |
תהליך הגדרה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:
הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)
מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).
כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.
הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
אנו תומכים רק באשכול אחד לכל ארגון.
מצב גרסת ניסיון של אבטחת נתונים היברידיים
לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.
אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.
אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.
מרכז נתונים במצב המתנה להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.
מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.
צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל. |
הגדרת מרכז נתונים המתנה להתאוששות מאסון
בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:
לפני שתתחיל
מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.
1 | התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.
| ||
2 | לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות | ||
3 | בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.
| ||
4 | השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו. | ||
5 | צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה. | ||
6 | בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.. | ||
7 | לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.
| ||
8 | מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות. | ||
9 | חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.
|
מה הלאה?
לאחר קביעת התצורה passiveMode
בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode
תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode
התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.
תמיכת פרוקסי
אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:
ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
סוג אימות—בחר מבין סוגי האימות הבאים:
ללא-נדרש אימות נוסף.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy
תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.
מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.
דרישות לאבטחת נתונים היברידיים
דרישות רישיון של Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים:
עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן העבודה של Docker
לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".
דרישות תעודה X.509
שרשרת התעודות חייבת לעמוד בדרישות הבאות:
דרישה | פרטים |
---|---|
| כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs. |
| ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור. |
| תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים. |
| באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:
לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים. |
קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:
PostgreSQL | שרת Microsoft SQL | ||
---|---|---|---|
|
| ||
מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) | מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL | שרת Microsoft SQL |
---|---|
נהג JDBC Postgres 42.2.5 | מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups). |
דרישות נוספות לאימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:
כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.
כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצוניות
הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום | פרוטוקול | יציאה | כיוון מהיישום | יעד |
---|---|---|---|---|
צמתי אבטחת נתונים היברידיים | TCP | 443 | HTTPS יוצא ו-WSS |
|
כלי הגדרת HDS | TCP | 443 | HTTPS יוצא |
|
צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול. |
כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור | כתובות URL של מארח זהות משותפת |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
דרישות שרת Proxy
אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).
פרוקסי מפורש - סקוויד.
פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.
אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
אין אימות עם HTTP או HTTPS
אימות בסיסי עם HTTP או HTTPS
תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל
wbx2.com
ו-ciscospark.com
יפתור את הבעיה.
השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
1 | ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה. | ||
2 | בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, | ||
3 | הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים. | ||
4 | הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים. | ||
5 | לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. | ||
6 | הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514). | ||
7 | צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.
לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי. | ||
8 | ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות. | ||
9 | התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף. כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות. | ||
10 | אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy. | ||
11 | אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת
|
זרימת משימה של אבטחת נתונים היברידיים
לפני שתתחיל
1 |
הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר. | ||
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים. | ||
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.
| ||
4 | הגדר את VM של אבטחת הנתונים ההיברידיים היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA. | ||
5 | העלה והעבר את תצורת ה-ISO של HDS הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS. | ||
6 | הגדרת תצורת צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. | ||
7 |
רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים. | ||
8 |
השלם את הגדרת האשכול. | ||
9 | הפעל משפט ועבר לייצור (הפרק הבא) עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל. |
הורד קובצי התקנה
1 | היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים. | ||||
2 | בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר. אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.
| ||||
3 | בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא. קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
| ||||
4 | לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
אישורי מסד נתונים
עדכוני תעודה
שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.
1 | בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
2 | כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
| ||||||||||||
3 | בהנחיית הסיסמה, הזן את ה-hash הזה:
| ||||||||||||
4 | הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות:
בסביבות FedRAMP:
| ||||||||||||
5 | כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:
כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080." | ||||||||||||
6 |
השתמש בדפדפן אינטרנט כדי לעבור אל localhost, הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית. | ||||||||||||
7 | כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. | ||||||||||||
8 | בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||||
9 | בדף הייבוא של ISO , יש לך את האפשרויות הבאות:
| ||||||||||||
10 | בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.
| ||||||||||||
11 | הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך: | ||||||||||||
12 | בחר מצב חיבור למסד הנתונים של TLS:
|