תודה על המשוב.

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

29 באוגוסט 2019 נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

13 ביוני 2019 עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.

תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

***תחומי ההפרדה (ללא אבטחת נתונים היברידית)***

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

מרכז נתונים במצב המתנה להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***יתירות כשל ידניות למרכז נתונים במצב המתנה***

מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

תמיכת פרוקסי

אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL	שרת Microsoft SQL
נהג JDBC Postgres 42.2.5	מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.

ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס.

הגדר את VM של אבטחת הנתונים ההיברידיים

השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

הגדרת תצורת צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הגנרי שיצרת ב-Set Up the Hybrid Data Security VM, רושם את הצומת עם ענן Webex והופך אותו לצומת אבטחת נתונים היברידיים.

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

כדי להוסיף צמתים נוספים לאשכול שלך, אתה פשוט יוצר VMs נוספים ומגן על אותו קובץ תצורה ISO, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשי פיילוט ייצרו כבר לא יהיה נגיש לאחר החלפת עותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן אל kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

מחוון מצב ב-Control Hub מראה לך אם הכל תקין בפריסת אבטחת הנתונים ההיברידיים. לקבלת התראה יזומה יותר, הירשם לקבלת התראות דוא"ל. תקבל הודעה כאשר יהיו אזעקות המשפיעות על השירות או שדרוגי תוכנה.

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

לאחר הפעלת גרסת ניסיון והוספת את הקבוצה הראשונית של משתמשי גרסת הניסיון, באפשרותך להוסיף או להסיר חברי גרסת ניסיון בכל עת בזמן שגרסת הניסיון פעילה.

אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומית שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

אם, במהלך תקופת הניסיון שלך, תחליט לא להמשיך עם פריסת אבטחת הנתונים ההיברידיים שלך, תוכל להשבית את אבטחת הנתונים ההיברידיים, מה שמסיים את גרסת הניסיון ומעביר את משתמשי הניסיון בחזרה לשירותי אבטחת הנתונים בענן. משתמשי גרסת הניסיון יאבדו גישה לנתונים המוצפנים במהלך גרסת הניסיון.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידית נעשים באופן אוטומטי ברמת האשכול, דבר שמבטיח שכל הצמתים פועלים תמיד באותה גרסת תוכנה. שדרוגים נעשים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג את האשכול באופן ידני לפני זמן השדרוג המתוזמן. באפשרותך להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily United States: אמריקה/לוס אנג'לס. באפשרותך גם לבחור לדחות שדרוג הקרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

ודא שאתה מושך את כלי ההתקנה העדכני ביותר עבור הליך זה. לגרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין את מסכי איפוס הסיסמה.

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה passiveMode תצורה כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך פעיל שוב, מקם את מרכז הנתונים במצב פסיבי שוב על-ידי ביצוע השלבים המתוארים ב-Setup Standby Data Center for Disaster Recovery.

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.

אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12 קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת במאגר ciscocitg dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

21 ביוני 2020

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכה בפרוקסי
קביעת התצורה של צומת HDS עבור שילוב Proxy
ביטול מצב רזולוציית DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכה בפרוקסי
דרישות שרת פרוקסי
קביעת התצורה של צומת HDS עבור שילוב Proxy

13 ביוני 2019 עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את אובייקט קבוצת HdsTrialGroup לפני הפעלת גרסת הניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.

6 במרץ 2019

דרישות ותנאים מוקדמים הועברו לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

27 בפברואר 2020

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

ינואר 24, 2019

אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always On Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.

5 בנובמבר 2018

נוסף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעל על ידי לקוחות יישום Webex אינטראקציה עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדרת אבטחת נתונים היברידיים - הדבר כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך - ענן Webex מספק אוטומטית שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבין התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות - אם תיתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח הבעיות המוכרות עשוי לסייע לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים באשכול אחד בלבד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אין באפשרותך לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

מרכז נתונים במצב המתנה להתאוששות מאסון

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ואת מסד הנתונים הראשי PostgreSQL או SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים במצב המתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ואת מסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ISO, ומסד הנתונים במצב המתנה. — ***יתירות כשל ידניות למרכז נתונים במצב המתנה***

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. (ראו Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

 מצב פסיבי: "אמת"

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

לאחר קביעת התצורה passiveMode בקובץ ה-ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ה-ISO ללא התצורה passiveMode ולשמור אותו במיקום מאובטח. עותק זה של קובץ ISO ללא מצב מוגדר פסיבי יכול לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS ב-Trust Store ובתצורת Proxy כדי לשלב proxy. אין צורך בעדכון אישורים.
Proxy שקוף שאינו בודק—הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS איזה שרת proxy וסכמת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
  - HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-לא נדרש אימות נוסף.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
    
    זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

אתה חייב להיות Pro Pack עבור Cisco Webex Control Hub. (ראוhttps://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, ראו את הפוסט בבלוג של דוקר, "דוקר מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין שמוגדר בשדות X.509V3 SAN. לאחר שרשמת צומת עם תעודה זו, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את האישור, המפתח הפרטי וכל אישורי ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com .ciscospark.com כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת hub.docker.com

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת פרוקסי

אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).

פרוקסי מפורש – דיונון.

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמתם של חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי באמצעות HTTP או HTTPS
- לעכל אימות באמצעות HTTPS בלבד
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת תעודות המכילה אישור X.509, מפתח פרטי ואישורי ביניים כלשהם. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM הפועלים על HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

התקנת Docker ( https://www.docker.com) בכל מכונה מקומית המפעילה מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב-⁦http://127.0.0.1:8080.⁩

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory בשם HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. יש לסנכרן את אובייקט HdsTrialGroup לענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו בתפריט 'תצורת > בחירת אובייקטים '. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העותקים המאוחסנים במטמון של התוכן.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

הגדר את ה-VM של אבטחת הנתונים ההיברידיים

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

קביעת התצורה של צומת HDS עבור שילוב Proxy

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את אישור ה-Proxy למאגר האמון במידת הצורך.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל גרסת ניסיון והעבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על 'הגדר'.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`נציג_גלובלי_HTTP_PROXY=http://server_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT`
HTTP Proxy עם אימות	`נציג גלובלי__HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

כניסת דוקר -u hdscustomersro

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker משיכה ciscocitg/hds-setup:stable

בסביבות FedRAMP:

דוקר משיכה ciscocitg/hds-setup-fedramp:stable

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות קבועות עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 -- rm - ciscocitg/hds-setup-fedramp: stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן—אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: יש צורך בחשבון Windows בתבנית username@DOMAIN בשדה שם המשתמש.
הזן את כתובת שרת מסד הנתונים בצורה : או :.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים מ-TLS להתחבר לשרת מסד הנתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת חותמת אישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS וודא חותם אישור ושם מארח

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם התעודה ושם המארח, אם ישים. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תבחר בתיבת סימון זו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n-בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxגודל: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבו את קובץ התצורה ISO. אתה זקוק לו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על Next.

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

בדף בחר משאב חישוב , בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאבים בדף התצורה , לחץ על 4 CPU ולאחר מכן לחץ על Next.

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק המוגדרת כברירת מחדל ואת מדיניות האחסון של ה-VM.

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח—הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP- הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת ה-NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על VM של הצומת, ולאחר מכן בחר Power > Power On.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

הגדר את ה-VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `מנהל מערכת` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה .
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ על CD/DVD Drive 1, בחר את האפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
דרישות שרת פרוקסי

1	הזן את כתובת ה- URL `של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה` בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.
2	עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. אין צורך בעדכון אישורים. Proxy שקוף שאינו בודק—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. אין צורך בעדכון אישורים. Proxy בדיקה שקוף – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-לא נדרש אימות נוסף. זמין עבור פרוקסי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור פרוקסי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת. זמין עבור פרוקסי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.
3	לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזאת שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.
6	לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות.
7	לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך כדי לגשת לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל גרסת ניסיון והעבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם ישים, סנכרן את אובייקט קבוצת `HdsTrialGroup` . אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את אובייקט קבוצת `HdsTrialGroup` עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את אובייקט קבוצת HdsTrialGroup עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

1	היכנס אל https://admin.webex.com ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר ערוץ מאובטח ל-KMS, סנן ב-kms.data.method=create and kms.data.type=EPHEMERAL__COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5. n.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, KmsData.method - צור, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5. n.us, kms.data.type=ארעי_מפתח_קולקציה, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5. n.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש המבקש מפתח קיים מה-KMS, סנן באמצעות kms.data.method=אחזר ו-kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזר, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל KmsData.method - צור וכן kms.data.type=מפתח_קולקציה:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן לפי kms.data.method=create and kms.data.type=RESOURCE COLLECTION_:

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום הליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub, אך אין באפשרותך להוסיף או להסיר אותם.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ על שמור.

מעבר מגרסת ניסיון לייצור

כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס למרכז הבקרה.
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:

שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

איפוס רך - הסיסמאות הישנות והחדשות פועלות למשך עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשיח - הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`נציג_גלובלי_HTTP_PROXY=http://server_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT`
HTTP Proxy עם אימות	`נציג גלובלי__HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`

דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:
```
כניסה דוקר -u hdscustomersro
```
בשורת הסיסמה, הזן גיבוב זה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker משיכה ciscocitg/hds-setup:stable

בסביבות FedRAMP:

דוקר משיכה ciscocitg/hds-setup-fedramp:stable

הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 -- rm - ciscocitg/hds-setup-fedramp: stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר אל localhost.

כשתתבקש, הזן את אישורי הכניסה של לקוח Control Hub ולחץ על Accept כדי להמשיך.
ייבא את קובץ ה- ISO הנוכחי של התצורה.
בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

אם יש לך רק צומת HDS אחד שפועל, צור VM צומת אבטחת נתונים היברידית חדש ורשום אותו באמצעות קובץ התצורה החדש של ISO. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
הרכיב את קובץ התצורה המעודכן.
רשום את הצומת החדש במרכז הבקרה.

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

כבה את המחשב הווירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.
לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.
בדוק את 'התחבר' בעת ההפעלה.
שמור את השינויים והחשמל במחשב הווירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.
2	עבור אל סקירה כללית (דף ברירת המחדל). כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .
3	עבור אל דף חנות האמון וה- Proxy .
4	לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחץ על פעולות > צומת ביטול רישום.

בלקוח vSphere, מחק את VM. (בחלונית הניווט השמאלית, לחצו לחיצת עכבר ימנית על מכשיר ה-VM ולחצו על מחק.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה למטה או הסר את התצורה passiveMode כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.

 מצב פסיבי: "לא נכון"

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור את עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר תצורת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ Datastore ISO.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן באופן מיידי כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי Certificate Authority מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה-CA שלך, שמור אותו כ-`hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -nos -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `------- אישור בגין--------- תעודת שרת #### ------- אישור סיום--------------------------------------------------------------- אישור CA ביניים. ------- אישור סיום--------------------------------------------------------------- אישור CA של בסיס ----- תעודת סיום------`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -ייצוא -inkey hdsnode-key -in hdsnode.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 - ב hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: מקש ה־ KMS-פרטי`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמת יבוא: MAC מאומת תכונות תיק אישור friendlyName: kms- private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות עיקריות: הזן ביטוי מעבר PEM: מאמת - הזן ביטוי סיסמה PEM: ------BEGIN מפתח פרטי מוצפן-------- -----end מוצפן פרטי--------תכונות תיק friendlyName: kms- private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6. n.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- ----END CERTIFICATE------Bag Attributes friendlyName: CN=Let'S EncrypT Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let'S EncrypT Authority X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE ----- -----END CERTIFICATE -----

מה הלאה?

חזור ל-השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. תשתמש בקובץ hdsnode.p12 והסיסמה שהגדרת עבורו, צור תצורה ISO עבור מארחי HDS.

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) חיבורים שאבטחת נתונים היברידית דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה ל-squid.conf:

on_unsupported_protocol מנהרה הכל

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

Acl wssMercuryConnection ssl::server_name_regex תפוס ssl_bump חיבור כספית wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 Acl step3 at_step SslBump3 ssl_bump הצצה צעד1 כל ssl_bump stare צעד2 כל ssl_bump צעד צעד3 הכל

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכה ב-Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכה ב-Proxy
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

28 בפברואר 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעל על ידי לקוחות יישום Webex אינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שמשתמשים בהם כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד חוץ ממך לא מחזיק את המפתחות בתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכה ב-Proxy

אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק מנהל פלטפורמה בצמתים לניהול תעודות ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה-Proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-לא נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: wbx2.com ‫ מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	**wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי שבוחן את תעבורת האינטרנט עלול להפריע לחיבורי שקע האינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

כלי הגדרת HDS פועל כמיכל דוקר במכונה מקומית. כדי לגשת אליו, הפעל דוקר על המכונה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות של הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. הטבלה הזו מספקת כמה משתנים סביבתיים אפשריים:

תיאור	משתנה
Proxy HTTP ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy של HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, היא מחזירה שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות של דוקר, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בבקשת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה האחרונה עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המתיחה תושלם, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם מתווך HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות קבועות עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כשהמיכל פועל, אתה רואה "שרת אקספרס מאזין ליציאה 8080".

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS(אפשרות ברירת מחדל)

צמתי HDS אינם דורשים מ-TLS להתחבר לשרת מסד הנתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת חותמת אישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת אישור ושם מארח

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים במדויק, או שהצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. שווי לא נתמך כרגע.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ על CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-לא נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

After configuring passiveMode in the ISO file and saving it, you can create another copy of the ISO file without the passiveMode configuration and save it in a secure location. This copy of the ISO file without passiveMode configured can help in a quick failover process during disaster recovery. See Disaster Recovery using Standby Data Center for the detailed failover procedure.

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן, לחצו על שמור.

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס ל-Control Hub.
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שתצטרך לשנות את התצורה של צומת אבטחת הנתונים ההיברידיים שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם הדומיין של CN של תעודה. הדומיין חייב להתאים לדומיין המקורי המשמש לרישום האשכול.

מעדכן הגדרות מסד נתונים כדי לשנות עותק של מסד הנתונים PostgreSQL או SQL Server.

אנחנו לא תומכים בהגירה של נתונים מ-PostgreSQL ל-Microsoft SQL Server, או מהכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידיים.

יצירת תצורה חדשה כדי להכין מרכז נתונים חדש.

כמו כן, למטרות אבטחה, אבטחת נתונים היברידיים משתמשת בסיסמאות של חשבונות שירות שיש להן אורך חיים של תשעה חודשים. לאחר שכלי הגדרת HDS יוצר סיסמאות אלה, אתה פורס אותן לכל אחד מצמתי ה-HDS בקובץ התצורה של ISO. כאשר סיסמאות הארגון שלך לקראת תפוגה, אתה מקבל הודעה מצוות Webex כדי לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדוא"ל כוללת את הטקסט, "השתמש ב-API של חשבון המכונה כדי לעדכן את הסיסמה.") אם הסיסמאות שלך עדיין לא פגו, הכלי נותן לך שתי אפשרויות:

איפוס רך - הסיסמאות הישנות והחדשות פועלות למשך עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה-ISO בצמתים בהדרגה.
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם הסיסמאות שלך פוגות ללא איפוס, היא משפיעה על שירות ה-HDS שלך, ודורשת איפוס מהיר והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. הטבלה הזו מספקת כמה משתנים סביבתיים אפשריים:

תיאור	משתנה
Proxy HTTP ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy של HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

יש צורך בעותק של קובץ התצורה הנוכחי כדי ליצור תצורה חדשה. ה-ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל-ISO בעת ביצוע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני תעודה או שינויים במדיניות ההרשאה.

באמצעות דוקר במחשב מקומי, הפעל את כלי הגדרת HDS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, היא מחזירה שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות של דוקר, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בבקשת הסיסמה, הזן גיבוב זה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה האחרונה עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

ודא שאתה מושך את כלי ההגדרה האחרון עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין מסכי איפוס סיסמה.

כאשר המתיחה תושלם, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם מתווך HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כשהמיכל פועל, אתה רואה "שרת אקספרס מאזין ליציאה 8080".

השתמש בדפדפן כדי להתחבר אל localhost, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כשתתבקש, הזן את אישורי הכניסה של לקוח Control Hub שלך ולחץ על Accept כדי להמשיך.
יבא את קובץ התצורה הנוכחי של קובץ ISO.
בצע את ההנחיות להשלמת הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

התקן את OVA של מארח HDS.
הגדר את HDS VM.
עגן את קובץ התצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

עבור צמתי HDS קיימים שמפעילים את קובץ התצורה הישן, התקן את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

כבה את המכונה הווירטואלית.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.
לחץ על CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO ולגלוש למיקום שבו הורדת את קובץ ה- ISO של התצורה החדשה.
בדוק את התחבר בחשמל מופעל.
שמור את השינויים והעוצמה במחשב הווירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר אפשרות זו מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-כן.
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך	השינויים שבוצעו
20 באוקטובר 2023	מידע מעודכן בדרישות שרת מסד נתונים. נוסף מרכז נתונים במצב המתנה להתאוששות מאסון. מידע מעודכן בStandby Data Center for Disaster Recovery וDisaster Recovery באמצעות Standby Data Center.
07 באוגוסט 2023	הוספת הערה בהורד קובצי התקנה. הוספת הערה בצור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת.
23 במאי 2023	מידע שנמחק מדרישות שרת מסד נתונים המבקשת להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון. מידע עודכן בדרישות קישוריות חיצונית והוסיף את קנדה לטבלת מארחי CI. הוספת הערה בציפיות לפריסת אבטחת נתונים היברידיים לגבי חוסר זמינות של מנגנונים להעברת מפתחות בחזרה לענן.
06 בדצמבר 2022	תמונות של כלי הגדרת HDS מתארחות כעת במאגר `ciscocitg` dockerhub. עודכנו הנושאים יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת כדי לשקף את השינויים בפקודות.
23 בנובמבר 2022	צומתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server. הנושא דרישות שרת מסד הנתונים עודכן עם דרישות נוספות עבור מצב אימות זה. עודכן צור תצורה ISO עבור מארחי HDS עם הפרוצדורה לקביעת התצורה של אימות Windows בצמתים. עדכון הנושא דרישות שרת מסד הנתונים עם גרסאות נדרשות מינימליות חדשות (PostgreSQL 10).
13 באוקטובר 2021	Docker Desktop צריך להפעיל תוכנית הגדרה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן עבודה של Docker.
21 ביוני 2020	ציינו שבאפשרותך לעשות שימוש חוזר בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. לפרטים, ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 .
30 באפריל 2021	שינוי דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30GB. לפרטים, ראה דרישות מארח וירטואלי .
24 בפברואר 2021	כלי הגדרת HDS יכול כעת לפעול מאחורי proxy. לפרטים, ראה יצירת ISO תצורה עבור מארחי HDS .
2 בפברואר 2021	HDS יכול לפעול כעת ללא קובץ ISO נטען. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
11 בינואר 2021	נוסף מידע על כלי הגדרת HDS ועל שרתי PROXY כדי ליצור ISO תצורה עבור מארחי HDS.
13 באוקטובר 2020	הורד קובצי התקנה מעודכנים.
8 באוקטובר 2020	עודכנו יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.
14 באוגוסט 2020	עודכנו יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.
5 באוגוסט 2020	עודכן בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן הרישום. עודכנו דרישות מארח וירטואלי להסרת מספר מארחים מקסימלי.
16 ביוני 2020	עדכון הסר צומת עבור שינויים בממשק המשתמש של Control Hub.
4 ביוני 2020	עודכן צור ISO תצורה עבור מארחי HDS עבור שינויים בהגדרות המתקדמות שאתה עשוי להגדיר.
29 במאי 2020	עודכן צור ISO תצורה עבור מארחי HDS כדי להראות שניתן גם להשתמש ב-TLS עם מסדי נתונים של SQL Server, שינויי ממשק משתמש והבהרות אחרות.
5 במאי 2020	עודכנו דרישות המארח הווירטואלי כדי להציג דרישה חדשה של ESXi 6.5.
21 באפריל 2020	עודכנו דרישות קישוריות חיצונית עם מארחי CI חדשים של אמריקה.
1 באפריל 2020	עודכנו דרישות קישוריות חיצונית עם מידע על מארחי CI אזוריים.
20 בפברואר 2020	עודכן צור ISO תצורה עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.
4 בפברואר 2020	עודכנו דרישות שרת Proxy.
16 בדצמבר 2019	הבהירה את הדרישה למצב רזולוציית DNS חיצונית חסום לפעול בדרישות שרת Proxy.
19 בנובמבר 2019	נוסף מידע על מצב רזולוציית DNS חיצוני חסום בקטעים הבאים: תמיכה בפרוקסי קביעת התצורה של צומת HDS עבור שילוב Proxy ביטול מצב רזולוציית DNS חיצוני חסום
8 בנובמבר 2019	כעת תוכל להגדיר את הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן. הסעיפים הבאים עודכנו בהתאם: זרימת משימת פריסת אבטחת נתונים היברידיים התקן את HDS Host OVA הגדרת ה-VM של אבטחת נתונים היברידיים האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.
6 בספטמבר 2019	נוסף SQL Server Standard לדרישות שרת מסד נתונים.
29 באוגוסט 2019	נוסף נספח קבע תצורה של שרתי Squid עבור אבטחת נתונים היברידיים עם הדרכה להגדרת שרתי Squid כדי להתעלם מתעבורת websocket לצורך פעולה תקינה.
20 באוגוסט 2019	קטעים נוספו ועדכנו כדי לכסות תמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex. תמיכה בפרוקסי דרישות שרת פרוקסי קביעת התצורה של צומת HDS עבור שילוב Proxy כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה Proxy Support for Hybrid Data Security ו-Webex Video Mesh .
13 ביוני 2019	עודכן תהליך ניסיון לזרימת משימת ייצור עם תזכורת לסנכרון אובייקט הקבוצה `HdsTrialGroup` לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.
6 במרץ 2019	הדרישות והדרישות המקדימות הועברו לפרק נפרד, הכן את הסביבה שלך. נוספה סקירה כללית של זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים. ציין שעד שתפעיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך ייצרו התראה המציינת שהשירות שלך עדיין לא מופעל. הוספת גרסת ניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון ועבור לייצור.
27 בפברואר 2020	תוקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להגדיר בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-20-GB, כדי לשקף את גודל הדיסק שה-OVA יוצר.
26 בפברואר 2019	צומתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים של PostgreSQL, ובחיבורי רישום מוצפנים לשרת SYSLOG התומך ב-TLS. עודכן יצירת ISO תצורה עבור מארחי HDS עם הוראות. כתובות URL של יעד הוסרו מהטבלה "דרישות קישוריות האינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה המתוארת בטבלה "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.
ינואר 24, 2019	אבטחת נתונים היברידיים תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On (אשכולות יתירות כשל תמיד וקבוצות זמינות תמיד) נתמך על-ידי מנהלי ההתקנים של JDBC המשמשים באבטחת נתונים היברידיים. נוסף תוכן הקשור לפריסה עם SQL Server. תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.
5 בנובמבר 2018	נוסף שלב ראשוני לניקוי מופעי hds קיימים של Docker ב-צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת. עדכון שלב רמת הגישה של המפתח בצור ISO תצורה עבור מארחי HDS כדי להתאים לממשק.
19 באוקטובר 2018	פצל את פרטי החיבור של חומת האש לדרישות הצומת ודרישות המכונה של תצורת ISO בהשלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
31 ביולי 2018	נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות לאבטחת נתונים היברידיים.
21 במאי 2018	המינוח השתנה כדי לשקף את המיתוג מחדש של Cisco Spark: אבטחת נתונים היברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים. יישום Cisco Spark הוא כעת יישום Webex. ענן Cisco Collaboraton הוא כעת ענן Webex.
11 באפריל 2018	נוסף מרכז נתונים במצב המתנה להתאוששות מאסון. עודכן השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר. עדכון התאוששות מאסון באמצעות Standby Data Center.
22 בפברואר 2018	נוסף מידע אודות אורך החיים של סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, תחת צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת.
15 בפברואר 2018	בטבלה X.509 Certificate Requirements , ציינת שהתעודה לא יכולה להיות תעודת כללי, וכי ה-KMS משתמש בדומיין CN, ולא בכל דומיין שהוגדר בשדות x.509v3 SAN.
18 בינואר 2018	התווסף נספח, תעבורה בין צמתי HDS לענן. הסרת בעיה שנפתרה מבעיות מוכרות עבור אבטחת נתונים היברידיים. index.docker.io השתנה ל-‎.docker.io והוסיף את ‎.cloudfront.net לרשימת דרישות הקישוריות של TCP עבור צומתי HDS בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים. עודכן צור ISO תצורה עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתרון ב-DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.
2 בנובמבר 2017	סנכרון ספר טלפונים מואר של HdsTrialGroup. הוראות קבועות להעלאת קובץ התצורה של ISO לצמתים VM.
18 באוגוסט 2017	פורסם לראשונה

תחילת העבודה עם אבטחת נתונים היברידיים

Hybrid Data Security Overview

From day one, data security has been the primary focus in designing Webex App. The cornerstone of this security is end-to-end content encryption, enabled by Webex App clients interacting with the Key Management Service (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

By default, all Webex App customers get end-to-end encryption with dynamic keys stored in the cloud KMS, in Cisco's security realm. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

Security Realm Architecture

The Webex cloud architecture separates different types of service into separate realms, or trust domains, as depicted below.

***Realms of Separation (without Hybrid Data Security)***

To further understand Hybrid Data Security, let's first look at this pure cloud case, where Cisco is providing all functions in its cloud realms. The identity service, the only place where users can be directly correlated with their personal information such as email address, is logically and physically separate from the security realm in data center B. Both are in turn separate from the realm where encrypted content is ultimately stored, in data center C.

In this diagram, the client is the Webex App running on a user's laptop, and has authenticated with the identity service. When the user composes a message to send to a space, the following steps take place:

The client establishes a secure connection with the key management service (KMS), then requests a key to encrypt the message. The secure connection uses ECDH, and the KMS encrypts the key using an AES-256 master key.
The message is encrypted before it leaves the client. The client sends it to the indexing service, which creates encrypted search indexes to aid in future searches for the content.
The encrypted message is sent to the compliance service for compliance checks.
The encrypted message is stored in the storage realm.

When you deploy Hybrid Data Security, you move the security realm functions (KMS, indexing, and compliance) to your on-premises data center. The other cloud services that make up Webex (including identity and content storage) remain in Cisco’s realms.

Collaborating with Other Organizations

Users in your organization may regularly use Webex App to collaborate with external participants in other organizations. When one of your users requests a key for a space that is owned by your organization (because it was created by one of your users) your KMS sends the key to the client over an ECDH secured channel. However, when another organization owns the key for the space, your KMS routes the request out to the Webex cloud through a separate ECDH channel to get the key from the appropriate KMS, and then returns the key to your user on the original channel.

The KMS service running on Org A validates the connections to KMSs in other organizations using x.509 PKI certificates. See Prepare Your Environment for details on generating an x.509 certificate to use with your Hybrid Data Security deployment.

Expectations for Deploying Hybrid Data Security

A Hybrid Data Security deployment requires significant customer commitment and an awareness of the risks that come with owning encryption keys.

To deploy Hybrid Data Security, you must provide:

A secure data center in a country that is a supported location for the Cisco Webex Teams plans.
The equipment, software, and network access described in .

Complete loss of either the configuration ISO that you build for Hybrid Data Security or the database that you provide will result in the loss of the keys. Key loss prevents users from decrypting space content and other encrypted data in Webex App. If this happens, you can build a new deployment, but only new content will be visible. To avoid loss of access to data, you must:

Manage the backup and recovery of the database and the configuration ISO.
Be prepared to perform quick disaster recovery if a catastrophe occurs, such as database disk failure or data center disaster.

There is no mechanism to move keys back to the Cloud after an HDS deployment.

High-level Setup Process

This document covers the setup and management of a Hybrid Data Security deployment:

Set up Hybrid Data Security—This includes preparing required infrastructure and installing Hybrid Data Security software, testing your deployment with a subset of users in trial mode, and, once your testing is complete, moving to production. This converts the entire organization to use your Hybrid Data Security cluster for security functions.
The setup, trial, and production phases are covered in detail in the next three chapters.
Maintain your Hybrid Data Security deployment—The Webex cloud automatically provides ongoing upgrades. Your IT department can provide tier one support for this deployment, and engage Cisco support as needed. You can use on-screen notifications and set up email-based alerts in Control Hub.
Understand common alerts, troubleshooting steps, and known issues—If you run into trouble deploying or using Hybrid Data Security, the last chapter of this guide and the Known Issues appendix may help you determine and fix the issue.

Hybrid Data Security Deployment Model

Within your enterprise data center, you deploy Hybrid Data Security as a single cluster of nodes on separate virtual hosts. The nodes communicate with the Webex cloud through secure websockets and secure HTTP.

During the installation process, we provide you with the OVA file to set up the virtual appliance on the VMs that you provide. You use the HDS Setup Tool to create a custom cluster configuration ISO file that you mount on each node. The Hybrid Data Security cluster uses your provided Syslogd server and PostgreSQL or Microsoft SQL Server database. (You configure the Syslogd and database connection details in the HDS Setup Tool.)

Hybrid Data Security Deployment Model

The minimum number of nodes you can have in a cluster is two. We recommend at least three per cluster. Having multiple nodes ensures that service is not interrupted during a software upgrade or other maintenance activity on a node. (The Webex cloud only upgrades one node at a time.)

All nodes in a cluster access the same key datastore, and log activity to the same syslog server. The nodes themselves are stateless, and handle key requests in round-robin fashion, as directed by the cloud.

Nodes become active when you register them in Control Hub. To take an individual node out of service, you can deregister it, and later reregister it if needed.

We support only a single cluster per organization.

Hybrid Data Security Trial Mode

After setting up a Hybrid Data Security deployment, you first try it with a set of pilot users. During the trial period, these users use your on-premises Hybrid Data Security domain for encryption keys and other security realm services. Your other users continue to use the cloud security realm.

If you decide not to continue with the deployment during the trial and deactivate the service, the pilot users and any users they have interacted with by creating new spaces during the trial period will lose access to the messages and content. They will see “This message cannot be decrypted” in the Webex App.

If you are satisfied that your deployment is working well for the trial users and you are ready to extend Hybrid Data Security to all of your users, you move the deployment to production. Pilot users continue to have access to the keys that were in use during the trial. However, you cannot move back and forth between production mode and the original trial. If you must deactivate the service, such as to perform disaster recovery, when you reactivate you must start a new trial and set up the set of pilot users for the new trial before moving back to production mode. Whether users retain access to data at this point depends on whether you have successfully maintained backups of the key data store and the ISO configuration file for the Hybrid Data Security nodes in your cluster.

Standby Data Center for Disaster Recovery

During deployment, you set up a secure standby data center. In the event of a data center disaster, you can manually fail your deployment over to the standby data center.

The databases of the active and standby data centers are in sync with each other which will minimize the time taken to perform the failover. The ISO file of the standby data center is updated with additional configurations which ensure that the nodes are registered to the organization, but will not handle traffic. Hence, the nodes of the standby data center always remain up-to-date with the latest version of HDS software.

The active Hybrid Data Security nodes must always be in the same data center as the active database server.

Setup Standby Data Center for Disaster Recovery

Follow the steps below to configure the ISO file of the standby data center:

לפני שתתחיל

The standby data center should mirror the production environment of VMs and a backup PostgreSQL or Microsoft SQL Server database. For example, if production has 3 VMs running HDS nodes, the backup environment should have 3 VMs. (See Standby Data Center for Disaster Recovery for an overview of this failover model.)
Make sure database sync is enabled between the database of active and passive cluster nodes.

1	Start the HDS Setup tool and follow the steps mentioned in Create a Configuration ISO for the HDS Hosts. The ISO file must be a copy of the original ISO file of the primary data center onto which the following configuration updates are to be made.
2	After configuring the Syslogd server, click on Advanced Settings
3	On the Advanced Settings page, add the configuration below to place the node in passive mode. In this mode the node will be registered to the organization and connected to cloud, but will not handle any traffic. `passiveMode: 'true'`
4	Complete the configuration process and save the ISO file in a location that's easy to find.
5	Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.
6	In the VMware vSphere client's left navigation pane, right-click on the VM and click Edit Settings..
7	Click Edit Settings >CD/DVD Drive 1 and select Datastore ISO File. Make sure Connected and Connect at power on are checked so that updated configuration changes can take effect after starting the nodes.
8	Power on the HDS node and make sure there are no alarms for at least 15 minutes.
9	Repeat the process for every node in the standby data center. Check the syslogs to verify that the nodes are in passive mode. You should be able to view the message “KMS configured in passive mode” in the syslogs.

מה הלאה?

תמיכה בפרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

No proxy—The default if you do not use the HDS node setup Trust Store & Proxy configuration to integrate a proxy. אין צורך בעדכון אישורים.
Transparent non-inspecting proxy—The nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. אין צורך בעדכון אישורים.
Transparent tunneling or inspecting proxy—The nodes are not configured to use a specific proxy server address. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
Explicit proxy—With explicit proxy, you tell the HDS nodes which proxy server and authentication scheme to use. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.
2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.
3. Proxy Protocol—Depending on what your proxy server supports, choose between the following protocols:
  - HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
  - HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
4. Authentication Type—Choose from among the following authentication types:
  - None—No further authentication is required.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
  - Basic—Used for an HTTP User Agent to provide a user name and password when making a request. משתמש בקידוד Base64.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—Used to confirm the account before sending sensitive information. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
    
    זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי Certificate Authority ‏(CA)	כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך אינה תעודת Wildcard	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה שאינה SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (ואילך) הותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים
PostgreSQL	שרת Microsoft SQL
PostgreSQL 14, 15 או 16, מותקן ופועל.	SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן. SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)	מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צומתי אבטחת נתונים היברידיים	TCP	443	HTTPS ו-WSS יוצא	שרתי Webex: .wbx2.com .ciscospark.com כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהויות נפוצות
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת פרוקסי

אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
- פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
- פרוקסי מפורש – דיונון.
  
  שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי באמצעות HTTP או HTTPS
- לעכל אימות באמצעות HTTPS בלבד
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.

1	ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את האישורים של חשבון עם זכויות מנהל מערכת מלאות של ארגון. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.
2	בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, `hds.company.com`) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.
3	הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.
4	הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.) אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים: שם המארח או כתובת ה-IP (מארח) והיציאה שם מסד הנתונים (dbname) עבור אחסון מפתחות שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות
5	לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.
6	הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).
7	צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.
8	ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.
9	התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩ אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.
10	אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.
11	אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory בשם `HdsTrialGroup` והוסף משתמשי ניסוי. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. יש לסנכרן את האובייקט `HdsTrialGroup` לענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו בתפריט תצורה > בחירת אובייקטים של מחבר ספר הטלפונים. (לקבלת הוראות מפורטות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.) מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשי פיילוט, זכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים יאבדו גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. ההפסד נראה לעין ברגע שהיישומים של המשתמשים מרעננים את העותקים המאוחסנים שלהם של התוכן.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1	בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.
2	צור ISO תצורה עבור מארחי HDS השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.
3	התקן את HDS Host OVA צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.
4	הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.
5	העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.
6	קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.
7	רשום את הצומת הראשון באשכול רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.
8	צור ורשום צמתים נוספים השלם את הגדרת האשכול.
9	הפעל גרסת ניסיון ועבור להפקה (הפרק הבא) עד שתפעיל גרסת ניסיון, הצמתים שלך ייצרו התראה המציינת שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1	היכנס אל https://admin.webex.com ולאחר מכן לחץ על שירותים.
2	במקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידיים במקטע עזרה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.
3	בחר לא כדי לציין שעדיין לא הגדרת את הצומת ולאחר מכן לחץ על הבא. קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4	לחלופין, לחץ על פתח מדריך פריסה כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה`
פרוקסי HTTPS ללא אימות	`נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה`
HTTP Proxy עם אימות	`נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם Proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

בדף ייבוא ISO , קיימות האפשרויות הבאות:

לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך תקינה, לחץ על המשך.
אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .
הזן את כתובת שרת מסד הנתונים בתבנית : או :.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד הנתונים.
הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

בחר מצב חיבור למסד נתונים של TLS:

מצב	תיאור
מעדיף TLS (אפשרות ברירת מחדל)	צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.
דרוש TLS	צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
דרוש TLS ואמת את חותם האישור	מצב זה אינו ישים עבור מסדי נתונים של SQL Server. צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS. לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור. השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.
דרוש TLS ואמת חותמת תעודה ושם מארח	צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS. לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור. הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור. השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP
- בתים Null -- \x00
- קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

1	השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.
2	בחר קובץ > פרוס תבנית OVF.
3	באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.
4	בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.
5	בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.
6	אמת את פרטי התבנית ולאחר מכן לחץ על הבא.
7	אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.
8	בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.
9	בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.
10	בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות: שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה. האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים. כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0. שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת. שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.) שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים. פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות. אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.
11	לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה. תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1	בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2	השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: התחברות: `מנהל מערכת` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.
6	שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.
ברשימת החומרה של לשונית התצורה, לחץ על אחסון.
ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.
לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

התקן את קובץ ה- ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.
לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.
לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.
סמן את מחובר ואת התחבר במצב מופעל.
שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
דרישות שרת פרוקסי

1	הזן את כתובת ה- URL `של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה` בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.
2	עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות: אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים. Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים. Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS). Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו. סוג אימות – בחר מבין סוגי האימות הבאים: ללא – לא נדרש אימות נוסף. זמין עבור פרוקסי HTTP או HTTPS. בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64. זמין עבור פרוקסי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת. זמין עבור פרוקסי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.
3	לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.
5	לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.
6	לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות.
7	לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	מהתפריט בצד שמאל של המסך, בחר שירותים.
3	במקטע 'שירותים היברידיים', חפש 'אבטחת נתונים היברידיים' ולחץ על הגדר. הדף 'רישום צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ואתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הבא. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.
9	סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף 'אבטחת נתונים היברידיים' של Control Hub. בדף אבטחת נתונים היברידיים , מוצג האשכול החדש המכיל את הצומת שרשמת. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

בשלב זה, ה-VM של הגיבוי שיצרת בהשלם את התנאים המוקדמים לאבטחת נתונים היברידיים הם מארחים בהמתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

לפני שתתחיל

לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.
2	הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך. במקטע 'שירותים היברידיים', חפש את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את השם של האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף 'אבטחת נתונים היברידיים' של Control Hub. הצומת שלך רשום. שים לב שעד שתפעיל גרסת ניסיון, הצמתים שלך ייצרו התראה המציינת שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל גרסת ניסיון ועבור להפקה (הפרק הבא)

הפעל גרסת ניסיון ולעבור לייצור

גרסת ניסיון לזרימת משימת ייצור

לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ולאמת את הפריסה שלך כהכנה למעבר לייצור.

לפני שתתחיל