ייתכן ששמת לב שבמאמרים מסוימים התוכן מוצג באופן לא עקבי. אנחנו עובדים על לעדכן את זה.
cross icon
במאמר זה
dropdown icon
הקדמה
    מידע חדש ומידע שהשתנה
    dropdown icon
    התחל בעבודה עם אבטחת נתונים היברידיים
      סקירה כללית של אבטחת נתונים היברידיים
        dropdown icon
        אדריכלות תחום אבטחה
          תחומי ההפרדה (ללא אבטחת נתונים היברידית)
        שיתוף פעולה עם ארגונים אחרים
          ציפיות לפריסת אבטחת נתונים היברידיים
            תהליך הגדרה גבוהה
              dropdown icon
              מודל פריסת אבטחת נתונים היברידיים
                מודל פריסת אבטחת נתונים היברידיים
              מצב גרסת ניסיון של אבטחת נתונים היברידיים
                dropdown icon
                מרכז נתונים במצב המתנה להתאוששות מאסון
                  הגדרת מרכז נתונים המתנה להתאוששות מאסון
                תמיכה בפרוקסי
                dropdown icon
                הכן את הסביבה שלך
                  dropdown icon
                  דרישות לאבטחת נתונים היברידיים
                    דרישות רישיון של Cisco Webex
                    דרישות שולחן העבודה של Docker
                    דרישות תעודה X.509
                    דרישות מארח וירטואלי
                    דרישות שרת מסד נתונים
                    דרישות קישוריות חיצוניות
                    דרישות שרת פרוקסי
                  השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
                  dropdown icon
                  הגדר אשכול אבטחת נתונים היברידיים
                    זרימת משימה של אבטחת נתונים היברידיים
                      הורד קובצי התקנה
                        צור ISO תצורה עבור מארחי HDS
                          התקן את HDS Host OVA
                            הגדר את ה-VM של אבטחת הנתונים ההיברידיים
                              העלה והעבר את תצורת ה-ISO של HDS
                                קביעת התצורה של צומת HDS עבור שילוב Proxy
                                  רשום את הצומת הראשון באשכול
                                    צור ורשום עוד צמתים
                                    dropdown icon
                                    הפעל גרסת ניסיון ועבר לייצור
                                      גרסת ניסיון לזרימת משימת ייצור
                                        הפעל גרסת ניסיון
                                          בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
                                            ניטור בריאות אבטחת נתונים היברידיים
                                              הוסף או הסר משתמשים מגרסת הניסיון שלך
                                                מעבר מגרסת ניסיון לייצור
                                                  סיים את גרסת הניסיון שלך מבלי לעבור לייצור
                                                  dropdown icon
                                                  נהל את פריסת HDS שלך
                                                    נהל פריסת HDS
                                                      הגדר לוח זמנים לשדרוג אשכול
                                                        שינוי תצורת הצומת
                                                          ביטול מצב רזולוציית DNS חיצוני חסום
                                                            הסר צומת
                                                              התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
                                                                (אופציונלי) בטל עגינה של ISO לאחר תצורת HDS
                                                                dropdown icon
                                                                פתרון בעיות באבטחת נתונים היברידיים
                                                                  הצג התראות ופתרון בעיות
                                                                    dropdown icon
                                                                    התראות
                                                                      בעיות נפוצות והצעדים לפתור אותן
                                                                    פתרון בעיות באבטחת נתונים היברידיים
                                                                    dropdown icon
                                                                    הערות נוספות
                                                                      בעיות מוכרות עבור אבטחת נתונים היברידיים
                                                                        השתמש ב-OpenSSL ליצירת קובץ PKCS12
                                                                          תעבורה בין צמתי HDS לענן
                                                                            dropdown icon
                                                                            קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים
                                                                              Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
                                                                          במאמר זה
                                                                          cross icon
                                                                          dropdown icon
                                                                          הקדמה
                                                                            מידע חדש ומידע שהשתנה
                                                                            dropdown icon
                                                                            התחל בעבודה עם אבטחת נתונים היברידיים
                                                                              סקירה כללית של אבטחת נתונים היברידיים
                                                                                dropdown icon
                                                                                אדריכלות תחום אבטחה
                                                                                  תחומי ההפרדה (ללא אבטחת נתונים היברידית)
                                                                                שיתוף פעולה עם ארגונים אחרים
                                                                                  ציפיות לפריסת אבטחת נתונים היברידיים
                                                                                    תהליך הגדרה גבוהה
                                                                                      dropdown icon
                                                                                      מודל פריסת אבטחת נתונים היברידיים
                                                                                        מודל פריסת אבטחת נתונים היברידיים
                                                                                      מצב גרסת ניסיון של אבטחת נתונים היברידיים
                                                                                        dropdown icon
                                                                                        מרכז נתונים במצב המתנה להתאוששות מאסון
                                                                                          הגדרת מרכז נתונים המתנה להתאוששות מאסון
                                                                                        תמיכה בפרוקסי
                                                                                        dropdown icon
                                                                                        הכן את הסביבה שלך
                                                                                          dropdown icon
                                                                                          דרישות לאבטחת נתונים היברידיים
                                                                                            דרישות רישיון של Cisco Webex
                                                                                            דרישות שולחן העבודה של Docker
                                                                                            דרישות תעודה X.509
                                                                                            דרישות מארח וירטואלי
                                                                                            דרישות שרת מסד נתונים
                                                                                            דרישות קישוריות חיצוניות
                                                                                            דרישות שרת פרוקסי
                                                                                          השלם את הדרישות המקדימות לאבטחת נתונים היברידיים
                                                                                          dropdown icon
                                                                                          הגדר אשכול אבטחת נתונים היברידיים
                                                                                            זרימת משימה של אבטחת נתונים היברידיים
                                                                                              הורד קובצי התקנה
                                                                                                צור ISO תצורה עבור מארחי HDS
                                                                                                  התקן את HDS Host OVA
                                                                                                    הגדר את ה-VM של אבטחת הנתונים ההיברידיים
                                                                                                      העלה והעבר את תצורת ה-ISO של HDS
                                                                                                        קביעת התצורה של צומת HDS עבור שילוב Proxy
                                                                                                          רשום את הצומת הראשון באשכול
                                                                                                            צור ורשום עוד צמתים
                                                                                                            dropdown icon
                                                                                                            הפעל גרסת ניסיון ועבר לייצור
                                                                                                              גרסת ניסיון לזרימת משימת ייצור
                                                                                                                הפעל גרסת ניסיון
                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
                                                                                                                    ניטור בריאות אבטחת נתונים היברידיים
                                                                                                                      הוסף או הסר משתמשים מגרסת הניסיון שלך
                                                                                                                        מעבר מגרסת ניסיון לייצור
                                                                                                                          סיים את גרסת הניסיון שלך מבלי לעבור לייצור
                                                                                                                          dropdown icon
                                                                                                                          נהל את פריסת HDS שלך
                                                                                                                            נהל פריסת HDS
                                                                                                                              הגדר לוח זמנים לשדרוג אשכול
                                                                                                                                שינוי תצורת הצומת
                                                                                                                                  ביטול מצב רזולוציית DNS חיצוני חסום
                                                                                                                                    הסר צומת
                                                                                                                                      התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
                                                                                                                                        (אופציונלי) בטל עגינה של ISO לאחר תצורת HDS
                                                                                                                                        dropdown icon
                                                                                                                                        פתרון בעיות באבטחת נתונים היברידיים
                                                                                                                                          הצג התראות ופתרון בעיות
                                                                                                                                            dropdown icon
                                                                                                                                            התראות
                                                                                                                                              בעיות נפוצות והצעדים לפתור אותן
                                                                                                                                            פתרון בעיות באבטחת נתונים היברידיים
                                                                                                                                            dropdown icon
                                                                                                                                            הערות נוספות
                                                                                                                                              בעיות מוכרות עבור אבטחת נתונים היברידיים
                                                                                                                                                השתמש ב-OpenSSL ליצירת קובץ PKCS12
                                                                                                                                                  תעבורה בין צמתי HDS לענן
                                                                                                                                                    dropdown icon
                                                                                                                                                    קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים
                                                                                                                                                      Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
                                                                                                                                                  מדריך פריסה עבור אבטחת נתונים היברידיים של Webex
                                                                                                                                                  list-menuבמאמר זה
                                                                                                                                                  הקדמה

                                                                                                                                                  מידע חדש ומידע שהשתנה

                                                                                                                                                  תאריך

                                                                                                                                                  שינויים שבוצעו

                                                                                                                                                  20 באוקטובר 2023

                                                                                                                                                  07 באוגוסט 2023

                                                                                                                                                  23 במאי 2023

                                                                                                                                                  06 בדצמבר 2022

                                                                                                                                                  23 בנובמבר 2022

                                                                                                                                                  • צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

                                                                                                                                                    עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

                                                                                                                                                    עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.

                                                                                                                                                  • עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

                                                                                                                                                  13 באוקטובר 2021

                                                                                                                                                  שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

                                                                                                                                                  24 ביוני 2021

                                                                                                                                                  ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים.

                                                                                                                                                  30 באפריל 2021

                                                                                                                                                  שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

                                                                                                                                                  24 בפברואר 2021

                                                                                                                                                  כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

                                                                                                                                                  2 בפברואר 2021

                                                                                                                                                  HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  11 בינואר 2021

                                                                                                                                                  נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

                                                                                                                                                  13 באוקטובר 2020

                                                                                                                                                  עודכנו קובצי התקנה להורדה.

                                                                                                                                                  8 באוקטובר 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

                                                                                                                                                  14 באוגוסט 2020

                                                                                                                                                  עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

                                                                                                                                                  5 באוגוסט 2020

                                                                                                                                                  עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

                                                                                                                                                  עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

                                                                                                                                                  16 ביוני 2020

                                                                                                                                                  עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

                                                                                                                                                  4 ביוני 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

                                                                                                                                                  29 במאי 2020

                                                                                                                                                  עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

                                                                                                                                                  5 במאי 2020

                                                                                                                                                  עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

                                                                                                                                                  21 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

                                                                                                                                                  1 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

                                                                                                                                                  20 בפברואר 2020עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.
                                                                                                                                                  4 בפברואר 2020דרישות שרת Proxy מעודכנות.
                                                                                                                                                  16 בדצמבר 2019הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.
                                                                                                                                                  19 בנובמבר 2019

                                                                                                                                                  נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

                                                                                                                                                  8 בנובמבר 2019

                                                                                                                                                  כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

                                                                                                                                                  הסעיפים הבאים עודכנו בהתאם:


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  6 בספטמבר 2019

                                                                                                                                                  נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

                                                                                                                                                  29 באוגוסט 2019נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.
                                                                                                                                                  20 באוגוסט 2019

                                                                                                                                                  מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

                                                                                                                                                  כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

                                                                                                                                                  13 ביוני 2019עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.
                                                                                                                                                  6 במרץ 2019
                                                                                                                                                  פברואר 28, 2019
                                                                                                                                                  • תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

                                                                                                                                                  26 בפברואר 2019
                                                                                                                                                  • צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.

                                                                                                                                                  • כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

                                                                                                                                                  24 בינואר 2019

                                                                                                                                                  • אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.


                                                                                                                                                     

                                                                                                                                                    תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

                                                                                                                                                  5 בנובמבר 2018
                                                                                                                                                  19 באוקטובר 2018

                                                                                                                                                  31 ביולי 2018

                                                                                                                                                  21 במאי 2018

                                                                                                                                                  טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

                                                                                                                                                  • אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.

                                                                                                                                                  • יישום Cisco Spark הוא כעת יישום Webex.

                                                                                                                                                  • ענן Cisco Collaboraton הוא כעת ענן Webex.

                                                                                                                                                  11 באפריל 2018
                                                                                                                                                  22 בפברואר 2018
                                                                                                                                                  15 בפברואר 2018
                                                                                                                                                  • בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

                                                                                                                                                  18 בינואר 2018

                                                                                                                                                  2 בנובמבר 2017

                                                                                                                                                  • סנכרון ספר טלפונים מובהר של HdsTrialGroup.

                                                                                                                                                  • הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

                                                                                                                                                  18 באוגוסט 2017

                                                                                                                                                  פורסם לראשונה

                                                                                                                                                  התחל בעבודה עם אבטחת נתונים היברידיים

                                                                                                                                                  סקירה כללית של אבטחת נתונים היברידיים

                                                                                                                                                  מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

                                                                                                                                                  כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

                                                                                                                                                  אדריכלות תחום אבטחה

                                                                                                                                                  ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

                                                                                                                                                  תחומי ההפרדה (ללא אבטחת נתונים היברידית)

                                                                                                                                                  כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

                                                                                                                                                  בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

                                                                                                                                                  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.

                                                                                                                                                  2. ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.

                                                                                                                                                  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

                                                                                                                                                  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

                                                                                                                                                  כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

                                                                                                                                                  שיתוף פעולה עם ארגונים אחרים

                                                                                                                                                  משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

                                                                                                                                                  שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  ציפיות לפריסת אבטחת נתונים היברידיים

                                                                                                                                                  פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

                                                                                                                                                  אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

                                                                                                                                                  • נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.

                                                                                                                                                  • להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.


                                                                                                                                                   

                                                                                                                                                  אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

                                                                                                                                                  תהליך הגדרה גבוהה

                                                                                                                                                  מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

                                                                                                                                                  • הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

                                                                                                                                                    שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.

                                                                                                                                                  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.

                                                                                                                                                  • הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

                                                                                                                                                  במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

                                                                                                                                                  כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

                                                                                                                                                  הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

                                                                                                                                                  אנו תומכים רק באשכול אחד לכל ארגון.

                                                                                                                                                  מצב גרסת ניסיון של אבטחת נתונים היברידיים

                                                                                                                                                  לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

                                                                                                                                                  אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

                                                                                                                                                  אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

                                                                                                                                                  מרכז נתונים במצב המתנה להתאוששות מאסון

                                                                                                                                                  במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  יתירות כשל ידניות למרכז נתונים במצב המתנה

                                                                                                                                                  מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

                                                                                                                                                  הגדרת מרכז נתונים המתנה להתאוששות מאסון

                                                                                                                                                  בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)

                                                                                                                                                  • ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

                                                                                                                                                  תמיכת פרוקסי

                                                                                                                                                  אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

                                                                                                                                                  • ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.

                                                                                                                                                  • Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.

                                                                                                                                                  • מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).

                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:

                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:

                                                                                                                                                      • HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.

                                                                                                                                                      • HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                  דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

                                                                                                                                                  תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  דרישות לאבטחת נתונים היברידיים

                                                                                                                                                  דרישות רישיון של Cisco Webex

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים:

                                                                                                                                                  דרישות שולחן העבודה של Docker

                                                                                                                                                  לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

                                                                                                                                                  דרישות תעודה X.509

                                                                                                                                                  שרשרת התעודות חייבת לעמוד בדרישות הבאות:

                                                                                                                                                  טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

                                                                                                                                                  דרישה

                                                                                                                                                  פרטים

                                                                                                                                                  • נחתם על-ידי רשות אישורים מהימנה (CA)

                                                                                                                                                  כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  • & צור תעודה

                                                                                                                                                  ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, hds.company.com.

                                                                                                                                                  ה-CN לא יכול להכיל * (תווים כלליים).

                                                                                                                                                  ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3.

                                                                                                                                                  לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.

                                                                                                                                                  • חתימה לא SHA1

                                                                                                                                                  תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.

                                                                                                                                                  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

                                                                                                                                                  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.

                                                                                                                                                  באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

                                                                                                                                                  יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

                                                                                                                                                  תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

                                                                                                                                                  דרישות מארח וירטואלי

                                                                                                                                                  למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

                                                                                                                                                  • לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח

                                                                                                                                                  • VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.


                                                                                                                                                     

                                                                                                                                                    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

                                                                                                                                                  • מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

                                                                                                                                                  דרישות שרת מסד נתונים


                                                                                                                                                   

                                                                                                                                                  צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

                                                                                                                                                  קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

                                                                                                                                                  טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15, או 16, מותקן ופועל.

                                                                                                                                                  • SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  נהג JDBC Postgres 42.2.5

                                                                                                                                                  מנהל התקן JDBC של SQL Server 4.6

                                                                                                                                                  גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

                                                                                                                                                  דרישות נוספות לאימות Windows מול Microsoft SQL Server

                                                                                                                                                  אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

                                                                                                                                                  • כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.

                                                                                                                                                  • לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.

                                                                                                                                                  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.

                                                                                                                                                  • באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

                                                                                                                                                    כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

                                                                                                                                                  דרישות קישוריות חיצוניות

                                                                                                                                                  הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

                                                                                                                                                  יישום

                                                                                                                                                  פרוטוקול

                                                                                                                                                  יציאה

                                                                                                                                                  כיוון מהיישום

                                                                                                                                                  יעד

                                                                                                                                                  צמתי אבטחת נתונים היברידיים

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא ו-WSS

                                                                                                                                                  • שרתי Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • ‫**** מלונות CISCOSPARK, ברצלונה ****‬

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex

                                                                                                                                                  כלי הגדרת HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • סטטוס שרת - Docker


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

                                                                                                                                                  כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

                                                                                                                                                  אזור

                                                                                                                                                  כתובות URL של מארח זהות משותפת

                                                                                                                                                  אמריקה

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  האיחוד האירופי

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  קנדה

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  דרישות שרת Proxy

                                                                                                                                                  • אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                    • Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

                                                                                                                                                    • פרוקסי מפורש - סקוויד.


                                                                                                                                                       

                                                                                                                                                      פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

                                                                                                                                                  • אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:

                                                                                                                                                    • אין אימות עם HTTP או HTTPS

                                                                                                                                                    • אימות בסיסי עם HTTP או HTTPS

                                                                                                                                                    • תקציר אימות עם HTTPS בלבד

                                                                                                                                                  • עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  • יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.

                                                                                                                                                  • פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

                                                                                                                                                  השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

                                                                                                                                                  השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.
                                                                                                                                                  1

                                                                                                                                                  ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

                                                                                                                                                  2

                                                                                                                                                  בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

                                                                                                                                                  3

                                                                                                                                                  הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

                                                                                                                                                  4

                                                                                                                                                  הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

                                                                                                                                                  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)

                                                                                                                                                  2. אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

                                                                                                                                                    • שם המארח או כתובת IP (מארח) והיציאה

                                                                                                                                                    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

                                                                                                                                                    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

                                                                                                                                                  5

                                                                                                                                                  לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

                                                                                                                                                  7

                                                                                                                                                  צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.


                                                                                                                                                   

                                                                                                                                                  מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

                                                                                                                                                  לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

                                                                                                                                                  8

                                                                                                                                                  ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

                                                                                                                                                  9

                                                                                                                                                  התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

                                                                                                                                                  השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

                                                                                                                                                  כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

                                                                                                                                                  10

                                                                                                                                                  אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

                                                                                                                                                  11

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)


                                                                                                                                                   

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

                                                                                                                                                  הגדר אשכול אבטחת נתונים היברידיים

                                                                                                                                                  זרימת משימה של אבטחת נתונים היברידיים

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  1

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

                                                                                                                                                  2

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  4

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

                                                                                                                                                  5

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  6

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

                                                                                                                                                  7

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

                                                                                                                                                  8

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  השלם את הגדרת האשכול.

                                                                                                                                                  9

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)

                                                                                                                                                  עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.
                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

                                                                                                                                                  אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.


                                                                                                                                                   

                                                                                                                                                  ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .


                                                                                                                                                   

                                                                                                                                                  גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

                                                                                                                                                  3

                                                                                                                                                  בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

                                                                                                                                                  קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
                                                                                                                                                  4

                                                                                                                                                  לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:

                                                                                                                                                    • אישורי מסד נתונים

                                                                                                                                                    • עדכוני תעודה

                                                                                                                                                    • שינויים במדיניות ההרשאה

                                                                                                                                                  • אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

                                                                                                                                                  1

                                                                                                                                                  בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2

                                                                                                                                                  כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                  • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

                                                                                                                                                  הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

                                                                                                                                                  7

                                                                                                                                                  כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

                                                                                                                                                  8

                                                                                                                                                  בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

                                                                                                                                                  9

                                                                                                                                                  בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

                                                                                                                                                  • לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
                                                                                                                                                  • כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.
                                                                                                                                                  10

                                                                                                                                                  בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

                                                                                                                                                  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  • אם התעודה שלך בסדר, לחץ על המשך.
                                                                                                                                                  • אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  11

                                                                                                                                                  הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

                                                                                                                                                  1. בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

                                                                                                                                                    אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.

                                                                                                                                                  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

                                                                                                                                                    • אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.

                                                                                                                                                    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.

                                                                                                                                                  3. הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

                                                                                                                                                    דוגמה:
                                                                                                                                                    dbhost.example.org:1433 או 198.51.100.17:1433

                                                                                                                                                    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

                                                                                                                                                    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

                                                                                                                                                  4. הזן את שם מסד נתונים...

                                                                                                                                                  5. הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

                                                                                                                                                  12

                                                                                                                                                  בחר מצב חיבור למסד הנתונים של TLS:

                                                                                                                                                  מצב

                                                                                                                                                  תיאור

                                                                                                                                                  מעדיף TLS (אפשרות ברירת מחדל)

                                                                                                                                                  צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

                                                                                                                                                  דורש TLS

                                                                                                                                                  צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  דרוש TLS ואמת את חותם האישורים


                                                                                                                                                   

                                                                                                                                                  מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  דרוש TLS ואמת את חותם האישור ושם המארח

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  • הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

                                                                                                                                                  13

                                                                                                                                                  בדף יומני המערכת, קבע את תצורת שרת Syslogd:

                                                                                                                                                  1. הזן את ה-URL של שרת syslog.

                                                                                                                                                    אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

                                                                                                                                                    דוגמה:
                                                                                                                                                    udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
                                                                                                                                                  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

                                                                                                                                                    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.

                                                                                                                                                  3. מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP

                                                                                                                                                    • בית Null -- \x00

                                                                                                                                                    • שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

                                                                                                                                                  4. לחץ על המשך.

                                                                                                                                                  14

                                                                                                                                                  (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

                                                                                                                                                  לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

                                                                                                                                                  16

                                                                                                                                                  לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

                                                                                                                                                  17

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

                                                                                                                                                  שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  18

                                                                                                                                                  כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.


                                                                                                                                                   

                                                                                                                                                  אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

                                                                                                                                                  2

                                                                                                                                                  בחר קובץ > פרוס תבנית OVF.

                                                                                                                                                  3

                                                                                                                                                  באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

                                                                                                                                                  4

                                                                                                                                                  ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

                                                                                                                                                  בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

                                                                                                                                                  6

                                                                                                                                                  אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

                                                                                                                                                  7

                                                                                                                                                  אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

                                                                                                                                                  8

                                                                                                                                                  ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

                                                                                                                                                  9

                                                                                                                                                  ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

                                                                                                                                                  10

                                                                                                                                                  בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

                                                                                                                                                  • שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

                                                                                                                                                     
                                                                                                                                                    • אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                    • כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

                                                                                                                                                    • האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

                                                                                                                                                  • כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

                                                                                                                                                     

                                                                                                                                                    לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  • מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
                                                                                                                                                  • שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
                                                                                                                                                  • שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
                                                                                                                                                  • שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
                                                                                                                                                  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

                                                                                                                                                  אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  11

                                                                                                                                                  לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

                                                                                                                                                  תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

                                                                                                                                                  עצות לפתרון בעיות

                                                                                                                                                  ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס.

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

                                                                                                                                                  1

                                                                                                                                                  בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

                                                                                                                                                  ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
                                                                                                                                                  2

                                                                                                                                                  השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה:

                                                                                                                                                  1. שם משתמש: admin

                                                                                                                                                  2. סיסמה: cisco

                                                                                                                                                  מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

                                                                                                                                                  3

                                                                                                                                                  אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.

                                                                                                                                                  4

                                                                                                                                                  הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  5

                                                                                                                                                  (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך.

                                                                                                                                                  אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                  6

                                                                                                                                                  שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.

                                                                                                                                                  1

                                                                                                                                                  העלה את קובץ ה-ISO מהמחשב:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.

                                                                                                                                                  2. ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.

                                                                                                                                                  3. ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.

                                                                                                                                                  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

                                                                                                                                                  5. דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.

                                                                                                                                                  6. לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

                                                                                                                                                  2

                                                                                                                                                  חיבור קובץ ה-ISO:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  2. לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.

                                                                                                                                                  4. בדוק את Connected והתחבר בהספק מופעל.

                                                                                                                                                  5. שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  1

                                                                                                                                                  הזן את כתובת ה-URL של הגדרת צומת HDS https://[HDS Node IP or FQDN]/setup בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:

                                                                                                                                                  • אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין עבור שרתי HTTPS בלבד.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                  בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.

                                                                                                                                                  3

                                                                                                                                                  לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy.

                                                                                                                                                  האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy.

                                                                                                                                                  אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  5

                                                                                                                                                  לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.

                                                                                                                                                  6

                                                                                                                                                  לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן.

                                                                                                                                                  הצומת יאותחל תוך מספר דקות.

                                                                                                                                                  7

                                                                                                                                                  לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

                                                                                                                                                  בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  משימה זו לוקחת את הצומת הגנרי שיצרת ב-Set Up the Hybrid Data Security VM, רושם את הצומת עם ענן Webex והופך אותו לצומת אבטחת נתונים היברידיים.

                                                                                                                                                  בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'.

                                                                                                                                                  הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  4

                                                                                                                                                  בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

                                                                                                                                                  6

                                                                                                                                                  בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                  כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
                                                                                                                                                  7

                                                                                                                                                  לחץ על עבור אל צומת.

                                                                                                                                                  8

                                                                                                                                                  לחץ על המשך בהודעת האזהרה.

                                                                                                                                                  לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
                                                                                                                                                  9

                                                                                                                                                  בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                  החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  10

                                                                                                                                                  לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  כדי להוסיף צמתים נוספים לאשכול שלך, אתה פשוט יוצר VMs נוספים ומגן על אותו קובץ תצורה ISO, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

                                                                                                                                                   

                                                                                                                                                  בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

                                                                                                                                                  5

                                                                                                                                                  רשום את הצומת.

                                                                                                                                                  1. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים.

                                                                                                                                                    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  3. לחץ על הוסף משאב.

                                                                                                                                                  4. בשדה הראשון, בחר את שם האשכול הקיים שלך.

                                                                                                                                                  5. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                    מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex.
                                                                                                                                                  6. לחץ על עבור אל צומת.

                                                                                                                                                    לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך.
                                                                                                                                                  7. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                    החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)
                                                                                                                                                  הפעל גרסת ניסיון ועבר לייצור

                                                                                                                                                  גרסת ניסיון לזרימת משימת ייצור

                                                                                                                                                  לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.

                                                                                                                                                  1

                                                                                                                                                  אם רלוונטי, סנכרן את HdsTrialGroup אובייקט קבוצה.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  2

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  4

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  בדוק מצב והגדר התראות בדוא"ל עבור התראות.

                                                                                                                                                  5

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  6

                                                                                                                                                  השלם את שלב הניסיון באחת מהפעולות הבאות:

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון.

                                                                                                                                                  מצב השירות משתנה למצב גרסת ניסיון.
                                                                                                                                                  4

                                                                                                                                                  לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס.

                                                                                                                                                  (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, HdsTrialGroup.)

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  • הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.

                                                                                                                                                  • ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.


                                                                                                                                                   

                                                                                                                                                  אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשי פיילוט ייצרו כבר לא יהיה נגיש לאחר החלפת עותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

                                                                                                                                                  2

                                                                                                                                                  שלח הודעות למרחב החדש.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן אל kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  מחוון מצב ב-Control Hub מראה לך אם הכל תקין בפריסת אבטחת הנתונים ההיברידיים. לקבלת התראה יזומה יותר, הירשם לקבלת התראות דוא"ל. תקבל הודעה כאשר יהיו אזעקות המשפיעות על השירות או שדרוגי תוכנה.
                                                                                                                                                  1

                                                                                                                                                  ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות.

                                                                                                                                                  דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
                                                                                                                                                  3

                                                                                                                                                  במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  לאחר הפעלת גרסת ניסיון והוספת את הקבוצה הראשונית של משתמשי גרסת הניסיון, באפשרותך להוסיף או להסיר חברי גרסת ניסיון בכל עת בזמן שגרסת הניסיון פעילה.

                                                                                                                                                  אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.

                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.

                                                                                                                                                  4

                                                                                                                                                  הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

                                                                                                                                                  מעבר מגרסת ניסיון לייצור

                                                                                                                                                  כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומית שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על העבר להפקה.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

                                                                                                                                                  סיים את גרסת הניסיון שלך מבלי לעבור לייצור

                                                                                                                                                  אם, במהלך תקופת הניסיון שלך, תחליט לא להמשיך עם פריסת אבטחת הנתונים ההיברידיים שלך, תוכל להשבית את אבטחת הנתונים ההיברידיים, מה שמסיים את גרסת הניסיון ומעביר את משתמשי הניסיון בחזרה לשירותי אבטחת הנתונים בענן. משתמשי גרסת הניסיון יאבדו גישה לנתונים המוצפנים במהלך גרסת הניסיון.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'השבת', לחצו על השבת.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

                                                                                                                                                  נהל את פריסת HDS שלך

                                                                                                                                                  נהל פריסת HDS

                                                                                                                                                  השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הגדר לוח זמנים לשדרוג אשכול

                                                                                                                                                  שדרוגי תוכנה עבור אבטחת נתונים היברידית נעשים באופן אוטומטי ברמת האשכול, דבר שמבטיח שכל הצמתים פועלים תמיד באותה גרסת תוכנה. שדרוגים נעשים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג את האשכול באופן ידני לפני זמן השדרוג המתוזמן. באפשרותך להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily United States: אמריקה/לוס אנג'לס. באפשרותך גם לבחור לדחות שדרוג הקרוב, במידת הצורך.

                                                                                                                                                  כדי להגדיר את לוח הזמנים לשדרוג:

                                                                                                                                                  1

                                                                                                                                                  היכנס אל רכזת בקרה .

                                                                                                                                                  2

                                                                                                                                                  בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .

                                                                                                                                                  3

                                                                                                                                                  בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

                                                                                                                                                  4

                                                                                                                                                  בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.

                                                                                                                                                  5

                                                                                                                                                  בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג.

                                                                                                                                                  הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

                                                                                                                                                  שינוי תצורת הצומת

                                                                                                                                                  מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:
                                                                                                                                                  • שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

                                                                                                                                                  • עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.

                                                                                                                                                  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

                                                                                                                                                  כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:

                                                                                                                                                  • איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

                                                                                                                                                  • איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

                                                                                                                                                  אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.

                                                                                                                                                  השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

                                                                                                                                                  1

                                                                                                                                                  באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

                                                                                                                                                  1. בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2. כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    ודא שאתה מושך את כלי ההתקנה העדכני ביותר עבור הליך זה. לגרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין את מסכי איפוס הסיסמה.

                                                                                                                                                  5. כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                    • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6. השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  7. כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.

                                                                                                                                                  8. ייבא את קובץ ה- ISO התצורה הנוכחית.

                                                                                                                                                  9. עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

                                                                                                                                                    כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  10. צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

                                                                                                                                                  2

                                                                                                                                                  אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

                                                                                                                                                  1. התקן את OVA המארח HDS.

                                                                                                                                                  2. הגדר את ה-HDS VM.

                                                                                                                                                  3. התקן את קובץ תצורה המעודכן.

                                                                                                                                                  4. רשום את הצומת החדש ב-Control Hub.

                                                                                                                                                  3

                                                                                                                                                  עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

                                                                                                                                                  1. כבה את מחשב וירטואלי.

                                                                                                                                                  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.

                                                                                                                                                  4. בדוק התחבר עם הדלקה .

                                                                                                                                                  5. שמור את השינויים וההפעלה שלך מחשב וירטואלי.

                                                                                                                                                  4

                                                                                                                                                  חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

                                                                                                                                                  כבה מצב רזולוציה של DNS חיצוני חסום

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.
                                                                                                                                                  1

                                                                                                                                                  בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Overview (דף ברירת המחדל).

                                                                                                                                                  כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .

                                                                                                                                                  3

                                                                                                                                                  עבור אל הדף של Trust Store ו-Proxy .

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק את חיבור ה-Proxy.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הסר צומת

                                                                                                                                                  השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

                                                                                                                                                  2

                                                                                                                                                  הסר את הצומת:

                                                                                                                                                  1. היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2. בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.

                                                                                                                                                  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.

                                                                                                                                                  4. לחץ על רשימת צמתים פתוחים.

                                                                                                                                                  5. בלשונית הצמתים, בחר את הצומת שברצונך להסיר.

                                                                                                                                                  6. לחצו על פעולות > בטל רישום של צומת.

                                                                                                                                                  3

                                                                                                                                                  בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

                                                                                                                                                  אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

                                                                                                                                                  התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

                                                                                                                                                  השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.

                                                                                                                                                  מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:

                                                                                                                                                  אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה passiveMode תצורה כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך פעיל שוב, מקם את מרכז הנתונים במצב פסיבי שוב על-ידי ביצוע השלבים המתוארים ב-Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

                                                                                                                                                  תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.

                                                                                                                                                  אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

                                                                                                                                                  1

                                                                                                                                                  כבה את אחד מצמתי ה-HDS שלך.

                                                                                                                                                  2

                                                                                                                                                  ב-vCenter Server Appliance, בחר את צומת HDS.

                                                                                                                                                  3

                                                                                                                                                  בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.

                                                                                                                                                  4

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

                                                                                                                                                  5

                                                                                                                                                  חזור עבור כל צומת HDS בתורו.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  הצג התראות ופתרון בעיות

                                                                                                                                                  פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:

                                                                                                                                                  • לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)

                                                                                                                                                  • הודעות וכותרות המרחב נכשלות בפענוח:

                                                                                                                                                    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

                                                                                                                                                    • משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)

                                                                                                                                                  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

                                                                                                                                                  חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

                                                                                                                                                  התראות

                                                                                                                                                  אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.

                                                                                                                                                  טבלה 1. בעיות נפוצות והצעדים לפתור אותן

                                                                                                                                                  התראה

                                                                                                                                                  פעולה

                                                                                                                                                  כשל בגישה למסד נתונים מקומי.

                                                                                                                                                  בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.

                                                                                                                                                  כשל בחיבור מסד נתונים מקומי.

                                                                                                                                                  בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.

                                                                                                                                                  כשל בגישה לשירות הענן.

                                                                                                                                                  בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.

                                                                                                                                                  חידוש רישום שירות הענן.

                                                                                                                                                  הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

                                                                                                                                                  רישום שירות הענן ירד.

                                                                                                                                                  הרישום לשירותי הענן הסתיים. השירות נסגר.

                                                                                                                                                  השירות עדיין לא הופעל.

                                                                                                                                                  הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.

                                                                                                                                                  הדומיין שהוגדר לא תואם לתעודת השרת.

                                                                                                                                                  ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר.

                                                                                                                                                  הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.

                                                                                                                                                  אימות מול שירותי הענן נכשל.

                                                                                                                                                  בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

                                                                                                                                                  פתיחת קובץ Keystore מקומי נכשלה.

                                                                                                                                                  בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.

                                                                                                                                                  תעודת שרת מקומית אינה חוקית.

                                                                                                                                                  בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.

                                                                                                                                                  לא ניתן לפרסם מדדים.

                                                                                                                                                  בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

                                                                                                                                                  הספרייה /media/configdrive/hds לא קיימת.

                                                                                                                                                  בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
                                                                                                                                                  1

                                                                                                                                                  סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.

                                                                                                                                                  2

                                                                                                                                                  סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  פנה לתמיכה של Cisco.

                                                                                                                                                  הערות נוספות

                                                                                                                                                  בעיות מוכרות עבור אבטחת נתונים היברידיים

                                                                                                                                                  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.

                                                                                                                                                  • לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

                                                                                                                                                    אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

                                                                                                                                                  השתמש ב-OpenSSL ליצירת קובץ PKCS12

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.

                                                                                                                                                  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.

                                                                                                                                                  • התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.

                                                                                                                                                  • צור מפתח פרטי.

                                                                                                                                                  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

                                                                                                                                                  1

                                                                                                                                                  כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  הצג את האישור כטקסט ואמת את הפרטים.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא hdsnode-bundle.pem. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  צור את קובץ ה-.p12 עם השם הידידותי kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  בדוק את פרטי תעודת השרת.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים friendlyName: kms-private-key.

                                                                                                                                                    דוגמה:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12 קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

                                                                                                                                                  תעבורה בין צמתי HDS לענן

                                                                                                                                                  תעבורת איסוף מדדים יוצא

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).

                                                                                                                                                  תעבורה נכנסת

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

                                                                                                                                                  • בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה

                                                                                                                                                  • שדרוגים לתוכנת הצומת

                                                                                                                                                  קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

                                                                                                                                                  Websocket לא יכול להתחבר דרך Proxy של סקוויד

                                                                                                                                                  פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

                                                                                                                                                  דיונון 4 ו-5

                                                                                                                                                  הוסף את on_unsupported_protocol הנחיה אל squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  דיונון 3.5.27

                                                                                                                                                  בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  הקדמה

                                                                                                                                                  מידע חדש ומידע שהשתנה

                                                                                                                                                  תאריך

                                                                                                                                                  שינויים שבוצעו

                                                                                                                                                  20 באוקטובר 2023

                                                                                                                                                  07 באוגוסט 2023

                                                                                                                                                  23 במאי 2023

                                                                                                                                                  06 בדצמבר 2022

                                                                                                                                                  23 בנובמבר 2022

                                                                                                                                                  • צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

                                                                                                                                                    עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

                                                                                                                                                    עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.

                                                                                                                                                  • עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

                                                                                                                                                  13 באוקטובר 2021

                                                                                                                                                  שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

                                                                                                                                                  24 ביוני 2021

                                                                                                                                                  ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים.

                                                                                                                                                  30 באפריל 2021

                                                                                                                                                  שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

                                                                                                                                                  24 בפברואר 2021

                                                                                                                                                  כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

                                                                                                                                                  2 בפברואר 2021

                                                                                                                                                  HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  11 בינואר 2021

                                                                                                                                                  נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

                                                                                                                                                  13 באוקטובר 2020

                                                                                                                                                  עודכנו קובצי התקנה להורדה.

                                                                                                                                                  8 באוקטובר 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

                                                                                                                                                  14 באוגוסט 2020

                                                                                                                                                  עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

                                                                                                                                                  5 באוגוסט 2020

                                                                                                                                                  עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

                                                                                                                                                  עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

                                                                                                                                                  16 ביוני 2020

                                                                                                                                                  עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

                                                                                                                                                  4 ביוני 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

                                                                                                                                                  29 במאי 2020

                                                                                                                                                  עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

                                                                                                                                                  5 במאי 2020

                                                                                                                                                  עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

                                                                                                                                                  21 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

                                                                                                                                                  1 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

                                                                                                                                                  20 בפברואר 2020עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.
                                                                                                                                                  4 בפברואר 2020דרישות שרת Proxy מעודכנות.
                                                                                                                                                  16 בדצמבר 2019הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.
                                                                                                                                                  19 בנובמבר 2019

                                                                                                                                                  נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

                                                                                                                                                  8 בנובמבר 2019

                                                                                                                                                  כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

                                                                                                                                                  הסעיפים הבאים עודכנו בהתאם:


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  6 בספטמבר 2019

                                                                                                                                                  נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

                                                                                                                                                  29 באוגוסט 2019נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.
                                                                                                                                                  20 באוגוסט 2019

                                                                                                                                                  מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

                                                                                                                                                  כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

                                                                                                                                                  13 ביוני 2019עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.
                                                                                                                                                  6 במרץ 2019
                                                                                                                                                  פברואר 28, 2019
                                                                                                                                                  • תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

                                                                                                                                                  26 בפברואר 2019
                                                                                                                                                  • צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.

                                                                                                                                                  • כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

                                                                                                                                                  24 בינואר 2019

                                                                                                                                                  • אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.


                                                                                                                                                     

                                                                                                                                                    תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

                                                                                                                                                  5 בנובמבר 2018
                                                                                                                                                  19 באוקטובר 2018

                                                                                                                                                  31 ביולי 2018

                                                                                                                                                  21 במאי 2018

                                                                                                                                                  טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

                                                                                                                                                  • אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.

                                                                                                                                                  • יישום Cisco Spark הוא כעת יישום Webex.

                                                                                                                                                  • ענן Cisco Collaboraton הוא כעת ענן Webex.

                                                                                                                                                  11 באפריל 2018
                                                                                                                                                  22 בפברואר 2018
                                                                                                                                                  15 בפברואר 2018
                                                                                                                                                  • בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

                                                                                                                                                  18 בינואר 2018

                                                                                                                                                  2 בנובמבר 2017

                                                                                                                                                  • סנכרון ספר טלפונים מובהר של HdsTrialGroup.

                                                                                                                                                  • הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

                                                                                                                                                  18 באוגוסט 2017

                                                                                                                                                  פורסם לראשונה

                                                                                                                                                  התחל בעבודה עם אבטחת נתונים היברידיים

                                                                                                                                                  סקירה כללית של אבטחת נתונים היברידיים

                                                                                                                                                  מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

                                                                                                                                                  כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

                                                                                                                                                  אדריכלות תחום אבטחה

                                                                                                                                                  ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

                                                                                                                                                  תחומי ההפרדה (ללא אבטחת נתונים היברידית)

                                                                                                                                                  כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

                                                                                                                                                  בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

                                                                                                                                                  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.

                                                                                                                                                  2. ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.

                                                                                                                                                  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

                                                                                                                                                  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

                                                                                                                                                  כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

                                                                                                                                                  שיתוף פעולה עם ארגונים אחרים

                                                                                                                                                  משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

                                                                                                                                                  שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  ציפיות לפריסת אבטחת נתונים היברידיים

                                                                                                                                                  פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

                                                                                                                                                  אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

                                                                                                                                                  • נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.

                                                                                                                                                  • להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.


                                                                                                                                                   

                                                                                                                                                  אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

                                                                                                                                                  תהליך הגדרה גבוהה

                                                                                                                                                  מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

                                                                                                                                                  • הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

                                                                                                                                                    שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.

                                                                                                                                                  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.

                                                                                                                                                  • הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

                                                                                                                                                  במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

                                                                                                                                                  כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

                                                                                                                                                  הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

                                                                                                                                                  אנו תומכים רק באשכול אחד לכל ארגון.

                                                                                                                                                  מצב גרסת ניסיון של אבטחת נתונים היברידיים

                                                                                                                                                  לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

                                                                                                                                                  אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

                                                                                                                                                  אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

                                                                                                                                                  מרכז נתונים במצב המתנה להתאוששות מאסון

                                                                                                                                                  במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  יתירות כשל ידניות למרכז נתונים במצב המתנה

                                                                                                                                                  מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

                                                                                                                                                  הגדרת מרכז נתונים המתנה להתאוששות מאסון

                                                                                                                                                  בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)

                                                                                                                                                  • ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

                                                                                                                                                  תמיכת פרוקסי

                                                                                                                                                  אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

                                                                                                                                                  • ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.

                                                                                                                                                  • Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.

                                                                                                                                                  • מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).

                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:

                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:

                                                                                                                                                      • HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.

                                                                                                                                                      • HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                  דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

                                                                                                                                                  תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  דרישות לאבטחת נתונים היברידיים

                                                                                                                                                  דרישות רישיון של Cisco Webex

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים:

                                                                                                                                                  דרישות שולחן העבודה של Docker

                                                                                                                                                  לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

                                                                                                                                                  דרישות תעודה X.509

                                                                                                                                                  שרשרת התעודות חייבת לעמוד בדרישות הבאות:

                                                                                                                                                  טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

                                                                                                                                                  דרישה

                                                                                                                                                  פרטים

                                                                                                                                                  • נחתם על-ידי רשות אישורים מהימנה (CA)

                                                                                                                                                  כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  • & צור תעודה

                                                                                                                                                  ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, hds.company.com.

                                                                                                                                                  ה-CN לא יכול להכיל * (תווים כלליים).

                                                                                                                                                  ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3.

                                                                                                                                                  לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.

                                                                                                                                                  • חתימה לא SHA1

                                                                                                                                                  תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.

                                                                                                                                                  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

                                                                                                                                                  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.

                                                                                                                                                  באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

                                                                                                                                                  יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

                                                                                                                                                  תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

                                                                                                                                                  דרישות מארח וירטואלי

                                                                                                                                                  למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

                                                                                                                                                  • לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח

                                                                                                                                                  • VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.


                                                                                                                                                     

                                                                                                                                                    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

                                                                                                                                                  • מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

                                                                                                                                                  דרישות שרת מסד נתונים


                                                                                                                                                   

                                                                                                                                                  צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

                                                                                                                                                  קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

                                                                                                                                                  טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15, או 16, מותקן ופועל.

                                                                                                                                                  • SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  נהג JDBC Postgres 42.2.5

                                                                                                                                                  מנהל התקן JDBC של SQL Server 4.6

                                                                                                                                                  גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

                                                                                                                                                  דרישות נוספות לאימות Windows מול Microsoft SQL Server

                                                                                                                                                  אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

                                                                                                                                                  • כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.

                                                                                                                                                  • לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.

                                                                                                                                                  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.

                                                                                                                                                  • באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

                                                                                                                                                    כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

                                                                                                                                                  דרישות קישוריות חיצוניות

                                                                                                                                                  הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

                                                                                                                                                  יישום

                                                                                                                                                  פרוטוקול

                                                                                                                                                  יציאה

                                                                                                                                                  כיוון מהיישום

                                                                                                                                                  יעד

                                                                                                                                                  צמתי אבטחת נתונים היברידיים

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא ו-WSS

                                                                                                                                                  • שרתי Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • ‫**** מלונות CISCOSPARK, ברצלונה ****‬

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex

                                                                                                                                                  כלי הגדרת HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • סטטוס שרת - Docker


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

                                                                                                                                                  כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

                                                                                                                                                  אזור

                                                                                                                                                  כתובות URL של מארח זהות משותפת

                                                                                                                                                  אמריקה

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  האיחוד האירופי

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  קנדה

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  דרישות שרת Proxy

                                                                                                                                                  • אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                    • Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

                                                                                                                                                    • פרוקסי מפורש - סקוויד.


                                                                                                                                                       

                                                                                                                                                      פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

                                                                                                                                                  • אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:

                                                                                                                                                    • אין אימות עם HTTP או HTTPS

                                                                                                                                                    • אימות בסיסי עם HTTP או HTTPS

                                                                                                                                                    • תקציר אימות עם HTTPS בלבד

                                                                                                                                                  • עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  • יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.

                                                                                                                                                  • פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

                                                                                                                                                  השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

                                                                                                                                                  השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.
                                                                                                                                                  1

                                                                                                                                                  ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

                                                                                                                                                  2

                                                                                                                                                  בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

                                                                                                                                                  3

                                                                                                                                                  הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

                                                                                                                                                  4

                                                                                                                                                  הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

                                                                                                                                                  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)

                                                                                                                                                  2. אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

                                                                                                                                                    • שם המארח או כתובת IP (מארח) והיציאה

                                                                                                                                                    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

                                                                                                                                                    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

                                                                                                                                                  5

                                                                                                                                                  לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

                                                                                                                                                  7

                                                                                                                                                  צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.


                                                                                                                                                   

                                                                                                                                                  מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

                                                                                                                                                  לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

                                                                                                                                                  8

                                                                                                                                                  ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

                                                                                                                                                  9

                                                                                                                                                  התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

                                                                                                                                                  השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

                                                                                                                                                  כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

                                                                                                                                                  10

                                                                                                                                                  אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

                                                                                                                                                  11

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)


                                                                                                                                                   

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

                                                                                                                                                  הגדר אשכול אבטחת נתונים היברידיים

                                                                                                                                                  זרימת משימה של אבטחת נתונים היברידיים

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  1

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

                                                                                                                                                  2

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  4

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

                                                                                                                                                  5

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  6

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

                                                                                                                                                  7

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

                                                                                                                                                  8

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  השלם את הגדרת האשכול.

                                                                                                                                                  9

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)

                                                                                                                                                  עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.
                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

                                                                                                                                                  אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.


                                                                                                                                                   

                                                                                                                                                  ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .


                                                                                                                                                   

                                                                                                                                                  גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

                                                                                                                                                  3

                                                                                                                                                  בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

                                                                                                                                                  קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
                                                                                                                                                  4

                                                                                                                                                  לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:

                                                                                                                                                    • אישורי מסד נתונים

                                                                                                                                                    • עדכוני תעודה

                                                                                                                                                    • שינויים במדיניות ההרשאה

                                                                                                                                                  • אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

                                                                                                                                                  1

                                                                                                                                                  בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2

                                                                                                                                                  כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                  • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

                                                                                                                                                  הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

                                                                                                                                                  7

                                                                                                                                                  כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

                                                                                                                                                  8

                                                                                                                                                  בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

                                                                                                                                                  9

                                                                                                                                                  בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

                                                                                                                                                  • לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
                                                                                                                                                  • כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.
                                                                                                                                                  10

                                                                                                                                                  בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

                                                                                                                                                  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  • אם התעודה שלך בסדר, לחץ על המשך.
                                                                                                                                                  • אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  11

                                                                                                                                                  הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

                                                                                                                                                  1. בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

                                                                                                                                                    אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.

                                                                                                                                                  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

                                                                                                                                                    • אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.

                                                                                                                                                    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.

                                                                                                                                                  3. הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

                                                                                                                                                    דוגמה:
                                                                                                                                                    dbhost.example.org:1433 או 198.51.100.17:1433

                                                                                                                                                    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

                                                                                                                                                    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

                                                                                                                                                  4. הזן את שם מסד נתונים...

                                                                                                                                                  5. הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

                                                                                                                                                  12

                                                                                                                                                  בחר מצב חיבור למסד הנתונים של TLS:

                                                                                                                                                  מצב

                                                                                                                                                  תיאור

                                                                                                                                                  מעדיף TLS (אפשרות ברירת מחדל)

                                                                                                                                                  צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

                                                                                                                                                  דורש TLS

                                                                                                                                                  צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  דרוש TLS ואמת את חותם האישורים


                                                                                                                                                   

                                                                                                                                                  מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  דרוש TLS ואמת את חותם האישור ושם המארח

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  • הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

                                                                                                                                                  13

                                                                                                                                                  בדף יומני המערכת, קבע את תצורת שרת Syslogd:

                                                                                                                                                  1. הזן את ה-URL של שרת syslog.

                                                                                                                                                    אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

                                                                                                                                                    דוגמה:
                                                                                                                                                    udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
                                                                                                                                                  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

                                                                                                                                                    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.

                                                                                                                                                  3. מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP

                                                                                                                                                    • בית Null -- \x00

                                                                                                                                                    • שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

                                                                                                                                                  4. לחץ על המשך.

                                                                                                                                                  14

                                                                                                                                                  (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

                                                                                                                                                  לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

                                                                                                                                                  16

                                                                                                                                                  לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

                                                                                                                                                  17

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

                                                                                                                                                  שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  18

                                                                                                                                                  כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.


                                                                                                                                                   

                                                                                                                                                  אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

                                                                                                                                                  2

                                                                                                                                                  בחר קובץ > פרוס תבנית OVF.

                                                                                                                                                  3

                                                                                                                                                  באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

                                                                                                                                                  4

                                                                                                                                                  ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

                                                                                                                                                  בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

                                                                                                                                                  6

                                                                                                                                                  אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

                                                                                                                                                  7

                                                                                                                                                  אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

                                                                                                                                                  8

                                                                                                                                                  ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

                                                                                                                                                  9

                                                                                                                                                  ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

                                                                                                                                                  10

                                                                                                                                                  בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

                                                                                                                                                  • שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

                                                                                                                                                     
                                                                                                                                                    • אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                    • כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

                                                                                                                                                    • האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

                                                                                                                                                  • כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

                                                                                                                                                     

                                                                                                                                                    לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  • מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
                                                                                                                                                  • שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
                                                                                                                                                  • שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
                                                                                                                                                  • שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
                                                                                                                                                  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

                                                                                                                                                  אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  11

                                                                                                                                                  לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

                                                                                                                                                  תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

                                                                                                                                                  עצות לפתרון בעיות

                                                                                                                                                  ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס.

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

                                                                                                                                                  1

                                                                                                                                                  בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

                                                                                                                                                  ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
                                                                                                                                                  2

                                                                                                                                                  השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה:

                                                                                                                                                  1. שם משתמש: admin

                                                                                                                                                  2. סיסמה: cisco

                                                                                                                                                  מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

                                                                                                                                                  3

                                                                                                                                                  אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.

                                                                                                                                                  4

                                                                                                                                                  הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  5

                                                                                                                                                  (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך.

                                                                                                                                                  אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                  6

                                                                                                                                                  שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.

                                                                                                                                                  1

                                                                                                                                                  העלה את קובץ ה-ISO מהמחשב:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.

                                                                                                                                                  2. ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.

                                                                                                                                                  3. ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.

                                                                                                                                                  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

                                                                                                                                                  5. דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.

                                                                                                                                                  6. לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

                                                                                                                                                  2

                                                                                                                                                  חיבור קובץ ה-ISO:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  2. לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.

                                                                                                                                                  4. בדוק את Connected והתחבר בהספק מופעל.

                                                                                                                                                  5. שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  1

                                                                                                                                                  הזן את כתובת ה-URL של הגדרת צומת HDS https://[HDS Node IP or FQDN]/setup בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:

                                                                                                                                                  • אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין עבור שרתי HTTPS בלבד.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                  בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.

                                                                                                                                                  3

                                                                                                                                                  לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy.

                                                                                                                                                  האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy.

                                                                                                                                                  אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  5

                                                                                                                                                  לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.

                                                                                                                                                  6

                                                                                                                                                  לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן.

                                                                                                                                                  הצומת יאותחל תוך מספר דקות.

                                                                                                                                                  7

                                                                                                                                                  לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

                                                                                                                                                  בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  משימה זו לוקחת את הצומת הגנרי שיצרת ב-Set Up the Hybrid Data Security VM, רושם את הצומת עם ענן Webex והופך אותו לצומת אבטחת נתונים היברידיים.

                                                                                                                                                  בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'.

                                                                                                                                                  הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  4

                                                                                                                                                  בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

                                                                                                                                                  6

                                                                                                                                                  בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                  כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
                                                                                                                                                  7

                                                                                                                                                  לחץ על עבור אל צומת.

                                                                                                                                                  8

                                                                                                                                                  לחץ על המשך בהודעת האזהרה.

                                                                                                                                                  לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
                                                                                                                                                  9

                                                                                                                                                  בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                  החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  10

                                                                                                                                                  לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  כדי להוסיף צמתים נוספים לאשכול שלך, אתה פשוט יוצר VMs נוספים ומגן על אותו קובץ תצורה ISO, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

                                                                                                                                                   

                                                                                                                                                  בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

                                                                                                                                                  5

                                                                                                                                                  רשום את הצומת.

                                                                                                                                                  1. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים.

                                                                                                                                                    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  3. לחץ על הוסף משאב.

                                                                                                                                                  4. בשדה הראשון, בחר את שם האשכול הקיים שלך.

                                                                                                                                                  5. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                    מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex.
                                                                                                                                                  6. לחץ על עבור אל צומת.

                                                                                                                                                    לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך.
                                                                                                                                                  7. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                    החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)
                                                                                                                                                  הפעל גרסת ניסיון ועבר לייצור

                                                                                                                                                  גרסת ניסיון לזרימת משימת ייצור

                                                                                                                                                  לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.

                                                                                                                                                  1

                                                                                                                                                  אם רלוונטי, סנכרן את HdsTrialGroup אובייקט קבוצה.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  2

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  4

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  בדוק מצב והגדר התראות בדוא"ל עבור התראות.

                                                                                                                                                  5

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  6

                                                                                                                                                  השלם את שלב הניסיון באחת מהפעולות הבאות:

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון.

                                                                                                                                                  מצב השירות משתנה למצב גרסת ניסיון.
                                                                                                                                                  4

                                                                                                                                                  לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס.

                                                                                                                                                  (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, HdsTrialGroup.)

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  • הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.

                                                                                                                                                  • ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.


                                                                                                                                                   

                                                                                                                                                  אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשי פיילוט ייצרו כבר לא יהיה נגיש לאחר החלפת עותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

                                                                                                                                                  2

                                                                                                                                                  שלח הודעות למרחב החדש.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן אל kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  מחוון מצב ב-Control Hub מראה לך אם הכל תקין בפריסת אבטחת הנתונים ההיברידיים. לקבלת התראה יזומה יותר, הירשם לקבלת התראות דוא"ל. תקבל הודעה כאשר יהיו אזעקות המשפיעות על השירות או שדרוגי תוכנה.
                                                                                                                                                  1

                                                                                                                                                  ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות.

                                                                                                                                                  דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
                                                                                                                                                  3

                                                                                                                                                  במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  לאחר הפעלת גרסת ניסיון והוספת את הקבוצה הראשונית של משתמשי גרסת הניסיון, באפשרותך להוסיף או להסיר חברי גרסת ניסיון בכל עת בזמן שגרסת הניסיון פעילה.

                                                                                                                                                  אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.

                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.

                                                                                                                                                  4

                                                                                                                                                  הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

                                                                                                                                                  מעבר מגרסת ניסיון לייצור

                                                                                                                                                  כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומית שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על העבר להפקה.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

                                                                                                                                                  סיים את גרסת הניסיון שלך מבלי לעבור לייצור

                                                                                                                                                  אם, במהלך תקופת הניסיון שלך, תחליט לא להמשיך עם פריסת אבטחת הנתונים ההיברידיים שלך, תוכל להשבית את אבטחת הנתונים ההיברידיים, מה שמסיים את גרסת הניסיון ומעביר את משתמשי הניסיון בחזרה לשירותי אבטחת הנתונים בענן. משתמשי גרסת הניסיון יאבדו גישה לנתונים המוצפנים במהלך גרסת הניסיון.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'השבת', לחצו על השבת.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

                                                                                                                                                  נהל את פריסת HDS שלך

                                                                                                                                                  נהל פריסת HDS

                                                                                                                                                  השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הגדר לוח זמנים לשדרוג אשכול

                                                                                                                                                  שדרוגי תוכנה עבור אבטחת נתונים היברידית נעשים באופן אוטומטי ברמת האשכול, דבר שמבטיח שכל הצמתים פועלים תמיד באותה גרסת תוכנה. שדרוגים נעשים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג את האשכול באופן ידני לפני זמן השדרוג המתוזמן. באפשרותך להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily United States: אמריקה/לוס אנג'לס. באפשרותך גם לבחור לדחות שדרוג הקרוב, במידת הצורך.

                                                                                                                                                  כדי להגדיר את לוח הזמנים לשדרוג:

                                                                                                                                                  1

                                                                                                                                                  היכנס אל רכזת בקרה .

                                                                                                                                                  2

                                                                                                                                                  בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .

                                                                                                                                                  3

                                                                                                                                                  בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

                                                                                                                                                  4

                                                                                                                                                  בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.

                                                                                                                                                  5

                                                                                                                                                  בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג.

                                                                                                                                                  הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

                                                                                                                                                  שינוי תצורת הצומת

                                                                                                                                                  מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:
                                                                                                                                                  • שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

                                                                                                                                                  • עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.

                                                                                                                                                  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

                                                                                                                                                  כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:

                                                                                                                                                  • איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

                                                                                                                                                  • איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

                                                                                                                                                  אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.

                                                                                                                                                  השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

                                                                                                                                                  1

                                                                                                                                                  באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

                                                                                                                                                  1. בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2. כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    ודא שאתה מושך את כלי ההתקנה העדכני ביותר עבור הליך זה. לגרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין את מסכי איפוס הסיסמה.

                                                                                                                                                  5. כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                    • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6. השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  7. כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.

                                                                                                                                                  8. ייבא את קובץ ה- ISO התצורה הנוכחית.

                                                                                                                                                  9. עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

                                                                                                                                                    כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  10. צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

                                                                                                                                                  2

                                                                                                                                                  אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

                                                                                                                                                  1. התקן את OVA המארח HDS.

                                                                                                                                                  2. הגדר את ה-HDS VM.

                                                                                                                                                  3. התקן את קובץ תצורה המעודכן.

                                                                                                                                                  4. רשום את הצומת החדש ב-Control Hub.

                                                                                                                                                  3

                                                                                                                                                  עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

                                                                                                                                                  1. כבה את מחשב וירטואלי.

                                                                                                                                                  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.

                                                                                                                                                  4. בדוק התחבר עם הדלקה .

                                                                                                                                                  5. שמור את השינויים וההפעלה שלך מחשב וירטואלי.

                                                                                                                                                  4

                                                                                                                                                  חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

                                                                                                                                                  כבה מצב רזולוציה של DNS חיצוני חסום

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.
                                                                                                                                                  1

                                                                                                                                                  בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Overview (דף ברירת המחדל).

                                                                                                                                                  כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .

                                                                                                                                                  3

                                                                                                                                                  עבור אל הדף של Trust Store ו-Proxy .

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק את חיבור ה-Proxy.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הסר צומת

                                                                                                                                                  השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

                                                                                                                                                  2

                                                                                                                                                  הסר את הצומת:

                                                                                                                                                  1. היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2. בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.

                                                                                                                                                  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.

                                                                                                                                                  4. לחץ על רשימת צמתים פתוחים.

                                                                                                                                                  5. בלשונית הצמתים, בחר את הצומת שברצונך להסיר.

                                                                                                                                                  6. לחצו על פעולות > בטל רישום של צומת.

                                                                                                                                                  3

                                                                                                                                                  בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

                                                                                                                                                  אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

                                                                                                                                                  התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

                                                                                                                                                  השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.

                                                                                                                                                  מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:

                                                                                                                                                  אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה passiveMode תצורה כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך פעיל שוב, מקם את מרכז הנתונים במצב פסיבי שוב על-ידי ביצוע השלבים המתוארים ב-Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

                                                                                                                                                  תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.

                                                                                                                                                  אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

                                                                                                                                                  1

                                                                                                                                                  כבה את אחד מצמתי ה-HDS שלך.

                                                                                                                                                  2

                                                                                                                                                  ב-vCenter Server Appliance, בחר את צומת HDS.

                                                                                                                                                  3

                                                                                                                                                  בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.

                                                                                                                                                  4

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

                                                                                                                                                  5

                                                                                                                                                  חזור עבור כל צומת HDS בתורו.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  הצג התראות ופתרון בעיות

                                                                                                                                                  פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:

                                                                                                                                                  • לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)

                                                                                                                                                  • הודעות וכותרות המרחב נכשלות בפענוח:

                                                                                                                                                    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

                                                                                                                                                    • משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)

                                                                                                                                                  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

                                                                                                                                                  חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

                                                                                                                                                  התראות

                                                                                                                                                  אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.

                                                                                                                                                  טבלה 1. בעיות נפוצות והצעדים לפתור אותן

                                                                                                                                                  התראה

                                                                                                                                                  פעולה

                                                                                                                                                  כשל בגישה למסד נתונים מקומי.

                                                                                                                                                  בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.

                                                                                                                                                  כשל בחיבור מסד נתונים מקומי.

                                                                                                                                                  בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.

                                                                                                                                                  כשל בגישה לשירות הענן.

                                                                                                                                                  בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.

                                                                                                                                                  חידוש רישום שירות הענן.

                                                                                                                                                  הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

                                                                                                                                                  רישום שירות הענן ירד.

                                                                                                                                                  הרישום לשירותי הענן הסתיים. השירות נסגר.

                                                                                                                                                  השירות עדיין לא הופעל.

                                                                                                                                                  הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.

                                                                                                                                                  הדומיין שהוגדר לא תואם לתעודת השרת.

                                                                                                                                                  ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר.

                                                                                                                                                  הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.

                                                                                                                                                  אימות מול שירותי הענן נכשל.

                                                                                                                                                  בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

                                                                                                                                                  פתיחת קובץ Keystore מקומי נכשלה.

                                                                                                                                                  בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.

                                                                                                                                                  תעודת שרת מקומית אינה חוקית.

                                                                                                                                                  בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.

                                                                                                                                                  לא ניתן לפרסם מדדים.

                                                                                                                                                  בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

                                                                                                                                                  הספרייה /media/configdrive/hds לא קיימת.

                                                                                                                                                  בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
                                                                                                                                                  1

                                                                                                                                                  סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.

                                                                                                                                                  2

                                                                                                                                                  סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  פנה לתמיכה של Cisco.

                                                                                                                                                  הערות נוספות

                                                                                                                                                  בעיות מוכרות עבור אבטחת נתונים היברידיים

                                                                                                                                                  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.

                                                                                                                                                  • לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

                                                                                                                                                    אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

                                                                                                                                                  השתמש ב-OpenSSL ליצירת קובץ PKCS12

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.

                                                                                                                                                  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.

                                                                                                                                                  • התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.

                                                                                                                                                  • צור מפתח פרטי.

                                                                                                                                                  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

                                                                                                                                                  1

                                                                                                                                                  כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  הצג את האישור כטקסט ואמת את הפרטים.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא hdsnode-bundle.pem. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  צור את קובץ ה-.p12 עם השם הידידותי kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  בדוק את פרטי תעודת השרת.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים friendlyName: kms-private-key.

                                                                                                                                                    דוגמה:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12 קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

                                                                                                                                                  תעבורה בין צמתי HDS לענן

                                                                                                                                                  תעבורת איסוף מדדים יוצא

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).

                                                                                                                                                  תעבורה נכנסת

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

                                                                                                                                                  • בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה

                                                                                                                                                  • שדרוגים לתוכנת הצומת

                                                                                                                                                  קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

                                                                                                                                                  Websocket לא יכול להתחבר דרך Proxy של סקוויד

                                                                                                                                                  פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

                                                                                                                                                  דיונון 4 ו-5

                                                                                                                                                  הוסף את on_unsupported_protocol הנחיה אל squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  דיונון 3.5.27

                                                                                                                                                  בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  הקדמה

                                                                                                                                                  מידע חדש ומידע שהשתנה

                                                                                                                                                  תאריך

                                                                                                                                                  שינויים שבוצעו

                                                                                                                                                  20 באוקטובר 2023

                                                                                                                                                  07 באוגוסט 2023

                                                                                                                                                  23 במאי 2023

                                                                                                                                                  06 בדצמבר 2022

                                                                                                                                                  23 בנובמבר 2022

                                                                                                                                                  • צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

                                                                                                                                                    עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

                                                                                                                                                    עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.

                                                                                                                                                  • עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

                                                                                                                                                  13 באוקטובר 2021

                                                                                                                                                  שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

                                                                                                                                                  24 ביוני 2021

                                                                                                                                                  ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים.

                                                                                                                                                  30 באפריל 2021

                                                                                                                                                  שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

                                                                                                                                                  24 בפברואר 2021

                                                                                                                                                  כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

                                                                                                                                                  2 בפברואר 2021

                                                                                                                                                  HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  11 בינואר 2021

                                                                                                                                                  נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

                                                                                                                                                  13 באוקטובר 2020

                                                                                                                                                  עודכנו קובצי התקנה להורדה.

                                                                                                                                                  8 באוקטובר 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

                                                                                                                                                  14 באוגוסט 2020

                                                                                                                                                  עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

                                                                                                                                                  5 באוגוסט 2020

                                                                                                                                                  עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

                                                                                                                                                  עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

                                                                                                                                                  16 ביוני 2020

                                                                                                                                                  עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

                                                                                                                                                  4 ביוני 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

                                                                                                                                                  29 במאי 2020

                                                                                                                                                  עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

                                                                                                                                                  5 במאי 2020

                                                                                                                                                  עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

                                                                                                                                                  21 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

                                                                                                                                                  1 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

                                                                                                                                                  20 בפברואר 2020עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.
                                                                                                                                                  4 בפברואר 2020דרישות שרת Proxy מעודכנות.
                                                                                                                                                  16 בדצמבר 2019הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.
                                                                                                                                                  19 בנובמבר 2019

                                                                                                                                                  נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

                                                                                                                                                  8 בנובמבר 2019

                                                                                                                                                  כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

                                                                                                                                                  הסעיפים הבאים עודכנו בהתאם:


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  6 בספטמבר 2019

                                                                                                                                                  נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

                                                                                                                                                  29 באוגוסט 2019נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.
                                                                                                                                                  20 באוגוסט 2019

                                                                                                                                                  מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

                                                                                                                                                  כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

                                                                                                                                                  13 ביוני 2019עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.
                                                                                                                                                  6 במרץ 2019
                                                                                                                                                  פברואר 28, 2019
                                                                                                                                                  • תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

                                                                                                                                                  26 בפברואר 2019
                                                                                                                                                  • צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.

                                                                                                                                                  • כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

                                                                                                                                                  24 בינואר 2019

                                                                                                                                                  • אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.


                                                                                                                                                     

                                                                                                                                                    תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

                                                                                                                                                  5 בנובמבר 2018
                                                                                                                                                  19 באוקטובר 2018

                                                                                                                                                  31 ביולי 2018

                                                                                                                                                  21 במאי 2018

                                                                                                                                                  טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

                                                                                                                                                  • אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.

                                                                                                                                                  • יישום Cisco Spark הוא כעת יישום Webex.

                                                                                                                                                  • ענן Cisco Collaboraton הוא כעת ענן Webex.

                                                                                                                                                  11 באפריל 2018
                                                                                                                                                  22 בפברואר 2018
                                                                                                                                                  15 בפברואר 2018
                                                                                                                                                  • בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

                                                                                                                                                  18 בינואר 2018

                                                                                                                                                  2 בנובמבר 2017

                                                                                                                                                  • סנכרון ספר טלפונים מובהר של HdsTrialGroup.

                                                                                                                                                  • הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

                                                                                                                                                  18 באוגוסט 2017

                                                                                                                                                  פורסם לראשונה

                                                                                                                                                  התחל בעבודה עם אבטחת נתונים היברידיים

                                                                                                                                                  סקירה כללית של אבטחת נתונים היברידיים

                                                                                                                                                  מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

                                                                                                                                                  כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

                                                                                                                                                  אדריכלות תחום אבטחה

                                                                                                                                                  ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

                                                                                                                                                  תחומי ההפרדה (ללא אבטחת נתונים היברידית)

                                                                                                                                                  כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

                                                                                                                                                  בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

                                                                                                                                                  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.

                                                                                                                                                  2. ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.

                                                                                                                                                  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

                                                                                                                                                  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

                                                                                                                                                  כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

                                                                                                                                                  שיתוף פעולה עם ארגונים אחרים

                                                                                                                                                  משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

                                                                                                                                                  שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  ציפיות לפריסת אבטחת נתונים היברידיים

                                                                                                                                                  פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

                                                                                                                                                  אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

                                                                                                                                                  • נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.

                                                                                                                                                  • להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.


                                                                                                                                                   

                                                                                                                                                  אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

                                                                                                                                                  תהליך הגדרה גבוהה

                                                                                                                                                  מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

                                                                                                                                                  • הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

                                                                                                                                                    שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.

                                                                                                                                                  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.

                                                                                                                                                  • הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

                                                                                                                                                  במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

                                                                                                                                                  כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

                                                                                                                                                  הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

                                                                                                                                                  אנו תומכים רק באשכול אחד לכל ארגון.

                                                                                                                                                  מצב גרסת ניסיון של אבטחת נתונים היברידיים

                                                                                                                                                  לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

                                                                                                                                                  אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

                                                                                                                                                  אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

                                                                                                                                                  מרכז נתונים במצב המתנה להתאוששות מאסון

                                                                                                                                                  במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  יתירות כשל ידניות למרכז נתונים במצב המתנה

                                                                                                                                                  מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

                                                                                                                                                  הגדרת מרכז נתונים המתנה להתאוששות מאסון

                                                                                                                                                  בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)

                                                                                                                                                  • ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

                                                                                                                                                  תמיכת פרוקסי

                                                                                                                                                  אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

                                                                                                                                                  • ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.

                                                                                                                                                  • Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.

                                                                                                                                                  • מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).

                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:

                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:

                                                                                                                                                      • HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.

                                                                                                                                                      • HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                  דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

                                                                                                                                                  תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  דרישות לאבטחת נתונים היברידיים

                                                                                                                                                  דרישות רישיון של Cisco Webex

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים:

                                                                                                                                                  דרישות שולחן העבודה של Docker

                                                                                                                                                  לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

                                                                                                                                                  דרישות תעודה X.509

                                                                                                                                                  שרשרת התעודות חייבת לעמוד בדרישות הבאות:

                                                                                                                                                  טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

                                                                                                                                                  דרישה

                                                                                                                                                  פרטים

                                                                                                                                                  • נחתם על-ידי רשות אישורים מהימנה (CA)

                                                                                                                                                  כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  • & צור תעודה

                                                                                                                                                  ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, hds.company.com.

                                                                                                                                                  ה-CN לא יכול להכיל * (תווים כלליים).

                                                                                                                                                  ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3.

                                                                                                                                                  לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.

                                                                                                                                                  • חתימה לא SHA1

                                                                                                                                                  תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.

                                                                                                                                                  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

                                                                                                                                                  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.

                                                                                                                                                  באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

                                                                                                                                                  יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

                                                                                                                                                  תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

                                                                                                                                                  דרישות מארח וירטואלי

                                                                                                                                                  למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

                                                                                                                                                  • לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח

                                                                                                                                                  • VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.


                                                                                                                                                     

                                                                                                                                                    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

                                                                                                                                                  • מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

                                                                                                                                                  דרישות שרת מסד נתונים


                                                                                                                                                   

                                                                                                                                                  צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

                                                                                                                                                  קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

                                                                                                                                                  טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15, או 16, מותקן ופועל.

                                                                                                                                                  • SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  נהג JDBC Postgres 42.2.5

                                                                                                                                                  מנהל התקן JDBC של SQL Server 4.6

                                                                                                                                                  גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

                                                                                                                                                  דרישות נוספות לאימות Windows מול Microsoft SQL Server

                                                                                                                                                  אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

                                                                                                                                                  • כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.

                                                                                                                                                  • לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.

                                                                                                                                                  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.

                                                                                                                                                  • באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

                                                                                                                                                    כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

                                                                                                                                                  דרישות קישוריות חיצוניות

                                                                                                                                                  הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

                                                                                                                                                  יישום

                                                                                                                                                  פרוטוקול

                                                                                                                                                  יציאה

                                                                                                                                                  כיוון מהיישום

                                                                                                                                                  יעד

                                                                                                                                                  צמתי אבטחת נתונים היברידיים

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא ו-WSS

                                                                                                                                                  • שרתי Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • ‫**** מלונות CISCOSPARK, ברצלונה ****‬

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex

                                                                                                                                                  כלי הגדרת HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • סטטוס שרת - Docker


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

                                                                                                                                                  כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

                                                                                                                                                  אזור

                                                                                                                                                  כתובות URL של מארח זהות משותפת

                                                                                                                                                  אמריקה

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  האיחוד האירופי

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  קנדה

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  דרישות שרת Proxy

                                                                                                                                                  • אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                    • Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

                                                                                                                                                    • פרוקסי מפורש - סקוויד.


                                                                                                                                                       

                                                                                                                                                      פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

                                                                                                                                                  • אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:

                                                                                                                                                    • אין אימות עם HTTP או HTTPS

                                                                                                                                                    • אימות בסיסי עם HTTP או HTTPS

                                                                                                                                                    • תקציר אימות עם HTTPS בלבד

                                                                                                                                                  • עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  • יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.

                                                                                                                                                  • פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

                                                                                                                                                  השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

                                                                                                                                                  השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.
                                                                                                                                                  1

                                                                                                                                                  ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

                                                                                                                                                  2

                                                                                                                                                  בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

                                                                                                                                                  3

                                                                                                                                                  הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

                                                                                                                                                  4

                                                                                                                                                  הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

                                                                                                                                                  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)

                                                                                                                                                  2. אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

                                                                                                                                                    • שם המארח או כתובת IP (מארח) והיציאה

                                                                                                                                                    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

                                                                                                                                                    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

                                                                                                                                                  5

                                                                                                                                                  לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

                                                                                                                                                  7

                                                                                                                                                  צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.


                                                                                                                                                   

                                                                                                                                                  מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

                                                                                                                                                  לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

                                                                                                                                                  8

                                                                                                                                                  ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

                                                                                                                                                  9

                                                                                                                                                  התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

                                                                                                                                                  השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

                                                                                                                                                  כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

                                                                                                                                                  10

                                                                                                                                                  אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

                                                                                                                                                  11

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)


                                                                                                                                                   

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

                                                                                                                                                  הגדר אשכול אבטחת נתונים היברידיים

                                                                                                                                                  זרימת משימה של אבטחת נתונים היברידיים

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  1

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

                                                                                                                                                  2

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  4

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

                                                                                                                                                  5

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  6

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

                                                                                                                                                  7

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

                                                                                                                                                  8

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  השלם את הגדרת האשכול.

                                                                                                                                                  9

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)

                                                                                                                                                  עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.
                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

                                                                                                                                                  אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.


                                                                                                                                                   

                                                                                                                                                  ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .


                                                                                                                                                   

                                                                                                                                                  גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

                                                                                                                                                  3

                                                                                                                                                  בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

                                                                                                                                                  קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
                                                                                                                                                  4

                                                                                                                                                  לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:

                                                                                                                                                    • אישורי מסד נתונים

                                                                                                                                                    • עדכוני תעודה

                                                                                                                                                    • שינויים במדיניות ההרשאה

                                                                                                                                                  • אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

                                                                                                                                                  1

                                                                                                                                                  בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2

                                                                                                                                                  כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                  • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

                                                                                                                                                  הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

                                                                                                                                                  7

                                                                                                                                                  כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

                                                                                                                                                  8

                                                                                                                                                  בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

                                                                                                                                                  9

                                                                                                                                                  בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

                                                                                                                                                  • לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
                                                                                                                                                  • כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.
                                                                                                                                                  10

                                                                                                                                                  בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

                                                                                                                                                  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  • אם התעודה שלך בסדר, לחץ על המשך.
                                                                                                                                                  • אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  11

                                                                                                                                                  הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

                                                                                                                                                  1. בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

                                                                                                                                                    אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.

                                                                                                                                                  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

                                                                                                                                                    • אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.

                                                                                                                                                    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.

                                                                                                                                                  3. הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

                                                                                                                                                    דוגמה:
                                                                                                                                                    dbhost.example.org:1433 או 198.51.100.17:1433

                                                                                                                                                    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

                                                                                                                                                    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

                                                                                                                                                  4. הזן את שם מסד נתונים...

                                                                                                                                                  5. הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

                                                                                                                                                  12

                                                                                                                                                  בחר מצב חיבור למסד הנתונים של TLS:

                                                                                                                                                  מצב

                                                                                                                                                  תיאור

                                                                                                                                                  מעדיף TLS (אפשרות ברירת מחדל)

                                                                                                                                                  צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

                                                                                                                                                  דורש TLS

                                                                                                                                                  צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  דרוש TLS ואמת את חותם האישורים


                                                                                                                                                   

                                                                                                                                                  מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  דרוש TLS ואמת את חותם האישור ושם המארח

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  • הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

                                                                                                                                                  13

                                                                                                                                                  בדף יומני המערכת, קבע את תצורת שרת Syslogd:

                                                                                                                                                  1. הזן את ה-URL של שרת syslog.

                                                                                                                                                    אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

                                                                                                                                                    דוגמה:
                                                                                                                                                    udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
                                                                                                                                                  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

                                                                                                                                                    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.

                                                                                                                                                  3. מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP

                                                                                                                                                    • בית Null -- \x00

                                                                                                                                                    • שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

                                                                                                                                                  4. לחץ על המשך.

                                                                                                                                                  14

                                                                                                                                                  (אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

                                                                                                                                                  לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

                                                                                                                                                  16

                                                                                                                                                  לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

                                                                                                                                                  17

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

                                                                                                                                                  שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  18

                                                                                                                                                  כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.


                                                                                                                                                   

                                                                                                                                                  אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

                                                                                                                                                  2

                                                                                                                                                  בחר קובץ > פרוס תבנית OVF.

                                                                                                                                                  3

                                                                                                                                                  באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

                                                                                                                                                  4

                                                                                                                                                  ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

                                                                                                                                                  בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

                                                                                                                                                  6

                                                                                                                                                  אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

                                                                                                                                                  7

                                                                                                                                                  אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

                                                                                                                                                  8

                                                                                                                                                  ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

                                                                                                                                                  9

                                                                                                                                                  ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

                                                                                                                                                  10

                                                                                                                                                  בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

                                                                                                                                                  • שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

                                                                                                                                                     
                                                                                                                                                    • אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                    • כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

                                                                                                                                                    • האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

                                                                                                                                                  • כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

                                                                                                                                                     

                                                                                                                                                    לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  • מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
                                                                                                                                                  • שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
                                                                                                                                                  • שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
                                                                                                                                                  • שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
                                                                                                                                                  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

                                                                                                                                                  אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  11

                                                                                                                                                  לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

                                                                                                                                                  תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

                                                                                                                                                  עצות לפתרון בעיות

                                                                                                                                                  ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס.

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

                                                                                                                                                  1

                                                                                                                                                  בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

                                                                                                                                                  ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
                                                                                                                                                  2

                                                                                                                                                  השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה:

                                                                                                                                                  1. שם משתמש: admin

                                                                                                                                                  2. סיסמה: cisco

                                                                                                                                                  מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

                                                                                                                                                  3

                                                                                                                                                  אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.

                                                                                                                                                  4

                                                                                                                                                  הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.

                                                                                                                                                  5

                                                                                                                                                  (אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך.

                                                                                                                                                  אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.

                                                                                                                                                  6

                                                                                                                                                  שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.

                                                                                                                                                  1

                                                                                                                                                  העלה את קובץ ה-ISO מהמחשב:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.

                                                                                                                                                  2. ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.

                                                                                                                                                  3. ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.

                                                                                                                                                  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

                                                                                                                                                  5. דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.

                                                                                                                                                  6. לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

                                                                                                                                                  2

                                                                                                                                                  חיבור קובץ ה-ISO:

                                                                                                                                                  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  2. לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.

                                                                                                                                                  4. בדוק את Connected והתחבר בהספק מופעל.

                                                                                                                                                  5. שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  1

                                                                                                                                                  הזן את כתובת ה-URL של הגדרת צומת HDS https://[HDS Node IP or FQDN]/setup בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות:

                                                                                                                                                  • אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
                                                                                                                                                  • Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין עבור שרתי HTTP או HTTPS.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין עבור שרתי HTTPS בלבד.

                                                                                                                                                        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

                                                                                                                                                  בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.

                                                                                                                                                  3

                                                                                                                                                  לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy.

                                                                                                                                                  האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy.

                                                                                                                                                  אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  5

                                                                                                                                                  לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.

                                                                                                                                                  6

                                                                                                                                                  לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן.

                                                                                                                                                  הצומת יאותחל תוך מספר דקות.

                                                                                                                                                  7

                                                                                                                                                  לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

                                                                                                                                                  בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  משימה זו לוקחת את הצומת הגנרי שיצרת ב-Set Up the Hybrid Data Security VM, רושם את הצומת עם ענן Webex והופך אותו לצומת אבטחת נתונים היברידיים.

                                                                                                                                                  בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'.

                                                                                                                                                  הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  4

                                                                                                                                                  בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.

                                                                                                                                                  5

                                                                                                                                                  בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

                                                                                                                                                  6

                                                                                                                                                  בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                  כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
                                                                                                                                                  7

                                                                                                                                                  לחץ על עבור אל צומת.

                                                                                                                                                  8

                                                                                                                                                  לחץ על המשך בהודעת האזהרה.

                                                                                                                                                  לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
                                                                                                                                                  9

                                                                                                                                                  בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                  החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  10

                                                                                                                                                  לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  כדי להוסיף צמתים נוספים לאשכול שלך, אתה פשוט יוצר VMs נוספים ומגן על אותו קובץ תצורה ISO, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

                                                                                                                                                   

                                                                                                                                                  בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

                                                                                                                                                  • ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

                                                                                                                                                  5

                                                                                                                                                  רשום את הצומת.

                                                                                                                                                  1. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים.

                                                                                                                                                    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
                                                                                                                                                  3. לחץ על הוסף משאב.

                                                                                                                                                  4. בשדה הראשון, בחר את שם האשכול הקיים שלך.

                                                                                                                                                  5. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא.

                                                                                                                                                    מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex.
                                                                                                                                                  6. לחץ על עבור אל צומת.

                                                                                                                                                    לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך.
                                                                                                                                                  7. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך.

                                                                                                                                                    החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
                                                                                                                                                  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub.

                                                                                                                                                  הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)
                                                                                                                                                  הפעל גרסת ניסיון ועבר לייצור

                                                                                                                                                  גרסת ניסיון לזרימת משימת ייצור

                                                                                                                                                  לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.

                                                                                                                                                  1

                                                                                                                                                  אם רלוונטי, סנכרן את HdsTrialGroup אובייקט קבוצה.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  2

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  4

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  בדוק מצב והגדר התראות בדוא"ל עבור התראות.

                                                                                                                                                  5

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  6

                                                                                                                                                  השלם את שלב הניסיון באחת מהפעולות הבאות:

                                                                                                                                                  הפעל גרסת ניסיון

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון.

                                                                                                                                                  מצב השירות משתנה למצב גרסת ניסיון.
                                                                                                                                                  4

                                                                                                                                                  לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס.

                                                                                                                                                  (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, HdsTrialGroup.)

                                                                                                                                                  בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  • הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.

                                                                                                                                                  • ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.


                                                                                                                                                   

                                                                                                                                                  אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשי פיילוט ייצרו כבר לא יהיה נגיש לאחר החלפת עותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

                                                                                                                                                  2

                                                                                                                                                  שלח הודעות למרחב החדש.

                                                                                                                                                  3

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן אל kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    עליך למצוא ערך כגון:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ניטור בריאות אבטחת נתונים היברידיים

                                                                                                                                                  מחוון מצב ב-Control Hub מראה לך אם הכל תקין בפריסת אבטחת הנתונים ההיברידיים. לקבלת התראה יזומה יותר, הירשם לקבלת התראות דוא"ל. תקבל הודעה כאשר יהיו אזעקות המשפיעות על השירות או שדרוגי תוכנה.
                                                                                                                                                  1

                                                                                                                                                  ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות.

                                                                                                                                                  דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
                                                                                                                                                  3

                                                                                                                                                  במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

                                                                                                                                                  הוסף או הסר משתמשים מגרסת הניסיון שלך

                                                                                                                                                  לאחר הפעלת גרסת ניסיון והוספת את הקבוצה הראשונית של משתמשי גרסת הניסיון, באפשרותך להוסיף או להסיר חברי גרסת ניסיון בכל עת בזמן שגרסת הניסיון פעילה.

                                                                                                                                                  אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.

                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.

                                                                                                                                                  4

                                                                                                                                                  הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

                                                                                                                                                  מעבר מגרסת ניסיון לייצור

                                                                                                                                                  כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומית שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'סטטוס שירות', לחץ על העבר להפקה.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

                                                                                                                                                  סיים את גרסת הניסיון שלך מבלי לעבור לייצור

                                                                                                                                                  אם, במהלך תקופת הניסיון שלך, תחליט לא להמשיך עם פריסת אבטחת הנתונים ההיברידיים שלך, תוכל להשבית את אבטחת הנתונים ההיברידיים, מה שמסיים את גרסת הניסיון ומעביר את משתמשי הניסיון בחזרה לשירותי אבטחת הנתונים בענן. משתמשי גרסת הניסיון יאבדו גישה לנתונים המוצפנים במהלך גרסת הניסיון.
                                                                                                                                                  1

                                                                                                                                                  היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2

                                                                                                                                                  תחת אבטחת נתונים היברידיים, לחצו על הגדרות.

                                                                                                                                                  3

                                                                                                                                                  בקטע 'השבת', לחצו על השבת.

                                                                                                                                                  4

                                                                                                                                                  אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

                                                                                                                                                  נהל את פריסת HDS שלך

                                                                                                                                                  נהל פריסת HDS

                                                                                                                                                  השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הגדר לוח זמנים לשדרוג אשכול

                                                                                                                                                  שדרוגי תוכנה עבור אבטחת נתונים היברידית נעשים באופן אוטומטי ברמת האשכול, דבר שמבטיח שכל הצמתים פועלים תמיד באותה גרסת תוכנה. שדרוגים נעשים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג את האשכול באופן ידני לפני זמן השדרוג המתוזמן. באפשרותך להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily United States: אמריקה/לוס אנג'לס. באפשרותך גם לבחור לדחות שדרוג הקרוב, במידת הצורך.

                                                                                                                                                  כדי להגדיר את לוח הזמנים לשדרוג:

                                                                                                                                                  1

                                                                                                                                                  היכנס אל רכזת בקרה .

                                                                                                                                                  2

                                                                                                                                                  בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .

                                                                                                                                                  3

                                                                                                                                                  בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

                                                                                                                                                  4

                                                                                                                                                  בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.

                                                                                                                                                  5

                                                                                                                                                  בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג.

                                                                                                                                                  הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

                                                                                                                                                  שינוי תצורת הצומת

                                                                                                                                                  מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:
                                                                                                                                                  • שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

                                                                                                                                                  • עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.

                                                                                                                                                  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

                                                                                                                                                  כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:

                                                                                                                                                  • איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

                                                                                                                                                  • איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

                                                                                                                                                  אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.

                                                                                                                                                  השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

                                                                                                                                                  1

                                                                                                                                                  באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

                                                                                                                                                  1. בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2. כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                    בסביבות רגילות:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    בסביבות FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    ודא שאתה מושך את כלי ההתקנה העדכני ביותר עבור הליך זה. לגרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין את מסכי איפוס הסיסמה.

                                                                                                                                                  5. כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                    • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות רגילות עם HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6. השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  7. כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.

                                                                                                                                                  8. ייבא את קובץ ה- ISO התצורה הנוכחית.

                                                                                                                                                  9. עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

                                                                                                                                                    כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

                                                                                                                                                  10. צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

                                                                                                                                                  2

                                                                                                                                                  אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

                                                                                                                                                  1. התקן את OVA המארח HDS.

                                                                                                                                                  2. הגדר את ה-HDS VM.

                                                                                                                                                  3. התקן את קובץ תצורה המעודכן.

                                                                                                                                                  4. רשום את הצומת החדש ב-Control Hub.

                                                                                                                                                  3

                                                                                                                                                  עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

                                                                                                                                                  1. כבה את מחשב וירטואלי.

                                                                                                                                                  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .

                                                                                                                                                  3. לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.

                                                                                                                                                  4. בדוק התחבר עם הדלקה .

                                                                                                                                                  5. שמור את השינויים וההפעלה שלך מחשב וירטואלי.

                                                                                                                                                  4

                                                                                                                                                  חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

                                                                                                                                                  כבה מצב רזולוציה של DNS חיצוני חסום

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.

                                                                                                                                                  אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.
                                                                                                                                                  1

                                                                                                                                                  בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.

                                                                                                                                                  2

                                                                                                                                                  עבור אל Overview (דף ברירת המחדל).

                                                                                                                                                  כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .

                                                                                                                                                  3

                                                                                                                                                  עבור אל הדף של Trust Store ו-Proxy .

                                                                                                                                                  4

                                                                                                                                                  לחץ על בדוק את חיבור ה-Proxy.

                                                                                                                                                  אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  הסר צומת

                                                                                                                                                  השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.
                                                                                                                                                  1

                                                                                                                                                  השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

                                                                                                                                                  2

                                                                                                                                                  הסר את הצומת:

                                                                                                                                                  1. היכנס ל-Control Hub ובחר שירותים.

                                                                                                                                                  2. בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.

                                                                                                                                                  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.

                                                                                                                                                  4. לחץ על רשימת צמתים פתוחים.

                                                                                                                                                  5. בלשונית הצמתים, בחר את הצומת שברצונך להסיר.

                                                                                                                                                  6. לחצו על פעולות > בטל רישום של צומת.

                                                                                                                                                  3

                                                                                                                                                  בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

                                                                                                                                                  אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

                                                                                                                                                  התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

                                                                                                                                                  השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.

                                                                                                                                                  מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:

                                                                                                                                                  אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה passiveMode תצורה כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך פעיל שוב, מקם את מרכז הנתונים במצב פסיבי שוב על-ידי ביצוע השלבים המתוארים ב-Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

                                                                                                                                                  תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.

                                                                                                                                                  אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

                                                                                                                                                  1

                                                                                                                                                  כבה את אחד מצמתי ה-HDS שלך.

                                                                                                                                                  2

                                                                                                                                                  ב-vCenter Server Appliance, בחר את צומת HDS.

                                                                                                                                                  3

                                                                                                                                                  בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.

                                                                                                                                                  4

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

                                                                                                                                                  5

                                                                                                                                                  חזור עבור כל צומת HDS בתורו.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  הצג התראות ופתרון בעיות

                                                                                                                                                  פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:

                                                                                                                                                  • לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)

                                                                                                                                                  • הודעות וכותרות המרחב נכשלות בפענוח:

                                                                                                                                                    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

                                                                                                                                                    • משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)

                                                                                                                                                  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

                                                                                                                                                  חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

                                                                                                                                                  התראות

                                                                                                                                                  אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.

                                                                                                                                                  טבלה 1. בעיות נפוצות והצעדים לפתור אותן

                                                                                                                                                  התראה

                                                                                                                                                  פעולה

                                                                                                                                                  כשל בגישה למסד נתונים מקומי.

                                                                                                                                                  בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.

                                                                                                                                                  כשל בחיבור מסד נתונים מקומי.

                                                                                                                                                  בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.

                                                                                                                                                  כשל בגישה לשירות הענן.

                                                                                                                                                  בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.

                                                                                                                                                  חידוש רישום שירות הענן.

                                                                                                                                                  הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

                                                                                                                                                  רישום שירות הענן ירד.

                                                                                                                                                  הרישום לשירותי הענן הסתיים. השירות נסגר.

                                                                                                                                                  השירות עדיין לא הופעל.

                                                                                                                                                  הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.

                                                                                                                                                  הדומיין שהוגדר לא תואם לתעודת השרת.

                                                                                                                                                  ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר.

                                                                                                                                                  הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.

                                                                                                                                                  אימות מול שירותי הענן נכשל.

                                                                                                                                                  בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

                                                                                                                                                  פתיחת קובץ Keystore מקומי נכשלה.

                                                                                                                                                  בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.

                                                                                                                                                  תעודת שרת מקומית אינה חוקית.

                                                                                                                                                  בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.

                                                                                                                                                  לא ניתן לפרסם מדדים.

                                                                                                                                                  בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

                                                                                                                                                  הספרייה /media/configdrive/hds לא קיימת.

                                                                                                                                                  בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

                                                                                                                                                  פתרון בעיות באבטחת נתונים היברידיים

                                                                                                                                                  השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
                                                                                                                                                  1

                                                                                                                                                  סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.

                                                                                                                                                  2

                                                                                                                                                  סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  פנה לתמיכה של Cisco.

                                                                                                                                                  הערות נוספות

                                                                                                                                                  בעיות מוכרות עבור אבטחת נתונים היברידיים

                                                                                                                                                  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.

                                                                                                                                                  • לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

                                                                                                                                                    אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

                                                                                                                                                  השתמש ב-OpenSSL ליצירת קובץ PKCS12

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.

                                                                                                                                                  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.

                                                                                                                                                  • התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.

                                                                                                                                                  • צור מפתח פרטי.

                                                                                                                                                  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

                                                                                                                                                  1

                                                                                                                                                  כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  הצג את האישור כטקסט ואמת את הפרטים.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא hdsnode-bundle.pem. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  צור את קובץ ה-.p12 עם השם הידידותי kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  בדוק את פרטי תעודת השרת.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים friendlyName: kms-private-key.

                                                                                                                                                    דוגמה:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  מה הלאה?

                                                                                                                                                  חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12 קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

                                                                                                                                                  תעבורה בין צמתי HDS לענן

                                                                                                                                                  תעבורת איסוף מדדים יוצא

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).

                                                                                                                                                  תעבורה נכנסת

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

                                                                                                                                                  • בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה

                                                                                                                                                  • שדרוגים לתוכנת הצומת

                                                                                                                                                  קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

                                                                                                                                                  Websocket לא יכול להתחבר דרך Proxy של סקוויד

                                                                                                                                                  פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

                                                                                                                                                  דיונון 4 ו-5

                                                                                                                                                  הוסף את on_unsupported_protocol הנחיה אל squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  דיונון 3.5.27

                                                                                                                                                  בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  הקדמה

                                                                                                                                                  מידע חדש ומידע שהשתנה

                                                                                                                                                  תאריך

                                                                                                                                                  שינויים שבוצעו

                                                                                                                                                  20 באוקטובר 2023

                                                                                                                                                  07 באוגוסט 2023

                                                                                                                                                  23 במאי 2023

                                                                                                                                                  06 בדצמבר 2022

                                                                                                                                                  23 בנובמבר 2022

                                                                                                                                                  • צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

                                                                                                                                                    עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

                                                                                                                                                    עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.

                                                                                                                                                  • עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

                                                                                                                                                  13 באוקטובר 2021

                                                                                                                                                  שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

                                                                                                                                                  24 ביוני 2021

                                                                                                                                                  ציין כי באפשרותך להשתמש מחדש בקובץ המפתח הפרטי וב-CSR כדי לבקש תעודה אחרת. ראה שימוש ב-OpenSSL כדי ליצור קובץ PKCS12 לקבלת פרטים.

                                                                                                                                                  30 באפריל 2021

                                                                                                                                                  שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

                                                                                                                                                  24 בפברואר 2021

                                                                                                                                                  כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

                                                                                                                                                  2 בפברואר 2021

                                                                                                                                                  HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

                                                                                                                                                  11 בינואר 2021

                                                                                                                                                  נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

                                                                                                                                                  13 באוקטובר 2020

                                                                                                                                                  עודכנו קובצי התקנה להורדה.

                                                                                                                                                  8 באוקטובר 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

                                                                                                                                                  14 באוגוסט 2020

                                                                                                                                                  עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

                                                                                                                                                  5 באוגוסט 2020

                                                                                                                                                  עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

                                                                                                                                                  עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

                                                                                                                                                  16 ביוני 2020

                                                                                                                                                  עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

                                                                                                                                                  4 ביוני 2020

                                                                                                                                                  עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

                                                                                                                                                  29 במאי 2020

                                                                                                                                                  עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

                                                                                                                                                  5 במאי 2020

                                                                                                                                                  עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

                                                                                                                                                  21 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

                                                                                                                                                  1 באפריל 2020

                                                                                                                                                  עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

                                                                                                                                                  20 בפברואר 2020עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.
                                                                                                                                                  4 בפברואר 2020דרישות שרת Proxy מעודכנות.
                                                                                                                                                  16 בדצמבר 2019הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.
                                                                                                                                                  19 בנובמבר 2019

                                                                                                                                                  נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

                                                                                                                                                  8 בנובמבר 2019

                                                                                                                                                  כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

                                                                                                                                                  הסעיפים הבאים עודכנו בהתאם:


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  6 בספטמבר 2019

                                                                                                                                                  נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

                                                                                                                                                  29 באוגוסט 2019נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.
                                                                                                                                                  20 באוגוסט 2019

                                                                                                                                                  מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

                                                                                                                                                  כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

                                                                                                                                                  13 ביוני 2019עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.
                                                                                                                                                  6 במרץ 2019
                                                                                                                                                  פברואר 28, 2019
                                                                                                                                                  • תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

                                                                                                                                                  26 בפברואר 2019
                                                                                                                                                  • צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.

                                                                                                                                                  • כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

                                                                                                                                                  24 בינואר 2019

                                                                                                                                                  • אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.


                                                                                                                                                     

                                                                                                                                                    תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

                                                                                                                                                  5 בנובמבר 2018
                                                                                                                                                  19 באוקטובר 2018

                                                                                                                                                  31 ביולי 2018

                                                                                                                                                  21 במאי 2018

                                                                                                                                                  טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

                                                                                                                                                  • אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.

                                                                                                                                                  • יישום Cisco Spark הוא כעת יישום Webex.

                                                                                                                                                  • ענן Cisco Collaboraton הוא כעת ענן Webex.

                                                                                                                                                  11 באפריל 2018
                                                                                                                                                  22 בפברואר 2018
                                                                                                                                                  15 בפברואר 2018
                                                                                                                                                  • בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

                                                                                                                                                  18 בינואר 2018

                                                                                                                                                  2 בנובמבר 2017

                                                                                                                                                  • סנכרון ספר טלפונים מובהר של HdsTrialGroup.

                                                                                                                                                  • הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

                                                                                                                                                  18 באוגוסט 2017

                                                                                                                                                  פורסם לראשונה

                                                                                                                                                  התחל בעבודה עם אבטחת נתונים היברידיים

                                                                                                                                                  סקירה כללית של אבטחת נתונים היברידיים

                                                                                                                                                  מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

                                                                                                                                                  כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

                                                                                                                                                  אדריכלות תחום אבטחה

                                                                                                                                                  ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

                                                                                                                                                  תחומי ההפרדה (ללא אבטחת נתונים היברידית)

                                                                                                                                                  כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

                                                                                                                                                  בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

                                                                                                                                                  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.

                                                                                                                                                  2. ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.

                                                                                                                                                  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

                                                                                                                                                  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

                                                                                                                                                  כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

                                                                                                                                                  שיתוף פעולה עם ארגונים אחרים

                                                                                                                                                  משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

                                                                                                                                                  שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  ציפיות לפריסת אבטחת נתונים היברידיים

                                                                                                                                                  פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

                                                                                                                                                  אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

                                                                                                                                                  • נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.

                                                                                                                                                  • להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.


                                                                                                                                                   

                                                                                                                                                  אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

                                                                                                                                                  תהליך הגדרה גבוהה

                                                                                                                                                  מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

                                                                                                                                                  • הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

                                                                                                                                                    שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.

                                                                                                                                                  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.

                                                                                                                                                  • הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

                                                                                                                                                  במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

                                                                                                                                                  מודל פריסת אבטחת נתונים היברידיים

                                                                                                                                                  מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

                                                                                                                                                  כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

                                                                                                                                                  הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

                                                                                                                                                  אנו תומכים רק באשכול אחד לכל ארגון.

                                                                                                                                                  מצב גרסת ניסיון של אבטחת נתונים היברידיים

                                                                                                                                                  לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

                                                                                                                                                  אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

                                                                                                                                                  אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

                                                                                                                                                  מרכז נתונים במצב המתנה להתאוששות מאסון

                                                                                                                                                  במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  יתירות כשל ידניות למרכז נתונים במצב המתנה

                                                                                                                                                  מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

                                                                                                                                                  הגדרת מרכז נתונים המתנה להתאוששות מאסון

                                                                                                                                                  בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)

                                                                                                                                                  • ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

                                                                                                                                                  1

                                                                                                                                                  התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.


                                                                                                                                                   

                                                                                                                                                  קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

                                                                                                                                                  2

                                                                                                                                                  לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

                                                                                                                                                  3

                                                                                                                                                  בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

                                                                                                                                                  5

                                                                                                                                                  צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

                                                                                                                                                  6

                                                                                                                                                  בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

                                                                                                                                                  7

                                                                                                                                                  לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.


                                                                                                                                                   

                                                                                                                                                  ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

                                                                                                                                                  8

                                                                                                                                                  מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

                                                                                                                                                  9

                                                                                                                                                  חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.


                                                                                                                                                   

                                                                                                                                                  בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

                                                                                                                                                  מה הלאה?

                                                                                                                                                  לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

                                                                                                                                                  תמיכת פרוקסי

                                                                                                                                                  אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

                                                                                                                                                  • ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.

                                                                                                                                                  • Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.

                                                                                                                                                  • מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).

                                                                                                                                                  • Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:

                                                                                                                                                    1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.

                                                                                                                                                    2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.

                                                                                                                                                    3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:

                                                                                                                                                      • HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.

                                                                                                                                                      • HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.

                                                                                                                                                    4. סוג אימות—בחר מבין סוגי האימות הבאים:

                                                                                                                                                      • ללא-נדרש אימות נוסף.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                      • בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.

                                                                                                                                                        זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                      • Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.

                                                                                                                                                        זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.

                                                                                                                                                        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

                                                                                                                                                  דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

                                                                                                                                                  תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

                                                                                                                                                  בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  דרישות לאבטחת נתונים היברידיים

                                                                                                                                                  דרישות רישיון של Cisco Webex

                                                                                                                                                  כדי לפרוס אבטחת נתונים היברידיים:

                                                                                                                                                  דרישות שולחן העבודה של Docker

                                                                                                                                                  לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

                                                                                                                                                  דרישות תעודה X.509

                                                                                                                                                  שרשרת התעודות חייבת לעמוד בדרישות הבאות:

                                                                                                                                                  טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

                                                                                                                                                  דרישה

                                                                                                                                                  פרטים

                                                                                                                                                  • נחתם על-ידי רשות אישורים מהימנה (CA)

                                                                                                                                                  כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך

                                                                                                                                                  • & צור תעודה

                                                                                                                                                  ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, hds.company.com.

                                                                                                                                                  ה-CN לא יכול להכיל * (תווים כלליים).

                                                                                                                                                  ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3.

                                                                                                                                                  לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.

                                                                                                                                                  • חתימה לא SHA1

                                                                                                                                                  תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.

                                                                                                                                                  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

                                                                                                                                                  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.

                                                                                                                                                  באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

                                                                                                                                                  יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

                                                                                                                                                  תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

                                                                                                                                                  דרישות מארח וירטואלי

                                                                                                                                                  למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

                                                                                                                                                  • לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח

                                                                                                                                                  • VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.


                                                                                                                                                     

                                                                                                                                                    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

                                                                                                                                                  • מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

                                                                                                                                                  דרישות שרת מסד נתונים


                                                                                                                                                   

                                                                                                                                                  צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

                                                                                                                                                  קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

                                                                                                                                                  טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15, או 16, מותקן ופועל.

                                                                                                                                                  • SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

                                                                                                                                                  תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  שרת Microsoft SQL

                                                                                                                                                  נהג JDBC Postgres 42.2.5

                                                                                                                                                  מנהל התקן JDBC של SQL Server 4.6

                                                                                                                                                  גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

                                                                                                                                                  דרישות נוספות לאימות Windows מול Microsoft SQL Server

                                                                                                                                                  אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

                                                                                                                                                  • כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.

                                                                                                                                                  • לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.

                                                                                                                                                  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.

                                                                                                                                                  • באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

                                                                                                                                                    כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

                                                                                                                                                  דרישות קישוריות חיצוניות

                                                                                                                                                  הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

                                                                                                                                                  יישום

                                                                                                                                                  פרוטוקול

                                                                                                                                                  יציאה

                                                                                                                                                  כיוון מהיישום

                                                                                                                                                  יעד

                                                                                                                                                  צמתי אבטחת נתונים היברידיים

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא ו-WSS

                                                                                                                                                  • שרתי Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • ‫**** מלונות CISCOSPARK, ברצלונה ****‬

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex

                                                                                                                                                  כלי הגדרת HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS יוצא

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • כל מארחי הזהות המשותפת

                                                                                                                                                  • סטטוס שרת - Docker


                                                                                                                                                   

                                                                                                                                                  צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

                                                                                                                                                  כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

                                                                                                                                                  אזור

                                                                                                                                                  כתובות URL של מארח זהות משותפת

                                                                                                                                                  אמריקה

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  האיחוד האירופי

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  קנדה

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  דרישות שרת Proxy

                                                                                                                                                  • אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                    • Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

                                                                                                                                                    • פרוקסי מפורש - סקוויד.


                                                                                                                                                       

                                                                                                                                                      פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

                                                                                                                                                  • אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:

                                                                                                                                                    • אין אימות עם HTTP או HTTPS

                                                                                                                                                    • אימות בסיסי עם HTTP או HTTPS

                                                                                                                                                    • תקציר אימות עם HTTPS בלבד

                                                                                                                                                  • עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  • יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.

                                                                                                                                                  • פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

                                                                                                                                                  השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

                                                                                                                                                  השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.
                                                                                                                                                  1

                                                                                                                                                  ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

                                                                                                                                                  2

                                                                                                                                                  בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

                                                                                                                                                  3

                                                                                                                                                  הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

                                                                                                                                                  4

                                                                                                                                                  הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

                                                                                                                                                  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)

                                                                                                                                                  2. אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

                                                                                                                                                    • שם המארח או כתובת IP (מארח) והיציאה

                                                                                                                                                    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

                                                                                                                                                    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

                                                                                                                                                  5

                                                                                                                                                  לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

                                                                                                                                                  7

                                                                                                                                                  צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.


                                                                                                                                                   

                                                                                                                                                  מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

                                                                                                                                                  לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

                                                                                                                                                  8

                                                                                                                                                  ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

                                                                                                                                                  9

                                                                                                                                                  התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

                                                                                                                                                  השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

                                                                                                                                                  כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

                                                                                                                                                  10

                                                                                                                                                  אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

                                                                                                                                                  11

                                                                                                                                                  אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)


                                                                                                                                                   

                                                                                                                                                  מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

                                                                                                                                                  הגדר אשכול אבטחת נתונים היברידיים

                                                                                                                                                  זרימת משימה של אבטחת נתונים היברידיים

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  הכן את הסביבה שלך

                                                                                                                                                  1

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

                                                                                                                                                  2

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

                                                                                                                                                  3

                                                                                                                                                  התקן את HDS Host OVA

                                                                                                                                                  צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.


                                                                                                                                                   

                                                                                                                                                  האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

                                                                                                                                                  4

                                                                                                                                                  הגדר את VM של אבטחת הנתונים ההיברידיים

                                                                                                                                                  היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

                                                                                                                                                  5

                                                                                                                                                  העלה והעבר את תצורת ה-ISO של HDS

                                                                                                                                                  הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

                                                                                                                                                  6

                                                                                                                                                  הגדרת תצורת צומת HDS עבור שילוב Proxy

                                                                                                                                                  אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

                                                                                                                                                  7

                                                                                                                                                  רשום את הצומת הראשון באשכול

                                                                                                                                                  רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

                                                                                                                                                  8

                                                                                                                                                  צור ורשום עוד צמתים

                                                                                                                                                  השלם את הגדרת האשכול.

                                                                                                                                                  9

                                                                                                                                                  הפעל משפט ועבר לייצור (הפרק הבא)

                                                                                                                                                  עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

                                                                                                                                                  הורד קובצי התקנה

                                                                                                                                                  במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.
                                                                                                                                                  1

                                                                                                                                                  היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

                                                                                                                                                  2

                                                                                                                                                  בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

                                                                                                                                                  אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.


                                                                                                                                                   

                                                                                                                                                  ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .


                                                                                                                                                   

                                                                                                                                                  גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

                                                                                                                                                  3

                                                                                                                                                  בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

                                                                                                                                                  קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.
                                                                                                                                                  4

                                                                                                                                                  לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

                                                                                                                                                  צור ISO תצורה עבור מארחי HDS

                                                                                                                                                  תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

                                                                                                                                                  לפני שתתחיל

                                                                                                                                                  • כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

                                                                                                                                                    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

                                                                                                                                                    תיאור

                                                                                                                                                    משתנה

                                                                                                                                                    HTTP Proxy ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS ללא אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    פרוקסי HTTPS עם אימות

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:

                                                                                                                                                    • אישורי מסד נתונים

                                                                                                                                                    • עדכוני תעודה

                                                                                                                                                    • שינויים במדיניות ההרשאה

                                                                                                                                                  • אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

                                                                                                                                                  1

                                                                                                                                                  בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

                                                                                                                                                  2

                                                                                                                                                  כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  בהנחיית הסיסמה, הזן את ה-hash הזה:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

                                                                                                                                                  בסביבות רגילות:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  בסביבות FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

                                                                                                                                                  • בסביבות רגילות ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות רגילות עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • בסביבות FedRAMP ללא פרוקסי:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • בסביבות FedRAMP עם פרוקסי HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

                                                                                                                                                  השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

                                                                                                                                                  הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

                                                                                                                                                  7

                                                                                                                                                  כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

                                                                                                                                                  8

                                                                                                                                                  בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

                                                                                                                                                  9

                                                                                                                                                  בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

                                                                                                                                                  • לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
                                                                                                                                                  • כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.
                                                                                                                                                  10

                                                                                                                                                  בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

                                                                                                                                                  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  • אם התעודה שלך בסדר, לחץ על המשך.
                                                                                                                                                  • אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
                                                                                                                                                  11

                                                                                                                                                  הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

                                                                                                                                                  1. בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

                                                                                                                                                    אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.

                                                                                                                                                  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

                                                                                                                                                    • אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.

                                                                                                                                                    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.

                                                                                                                                                  3. הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

                                                                                                                                                    דוגמה:
                                                                                                                                                    dbhost.example.org:1433 או 198.51.100.17:1433

                                                                                                                                                    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

                                                                                                                                                    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

                                                                                                                                                  4. הזן את שם מסד נתונים...

                                                                                                                                                  5. הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

                                                                                                                                                  12

                                                                                                                                                  בחר מצב חיבור למסד הנתונים של TLS:

                                                                                                                                                  מצב

                                                                                                                                                  תיאור

                                                                                                                                                  מעדיף TLS (אפשרות ברירת מחדל)

                                                                                                                                                  צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

                                                                                                                                                  דורש TLS

                                                                                                                                                  צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  דרוש TLS ואמת את חותם האישורים


                                                                                                                                                   

                                                                                                                                                  מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

                                                                                                                                                  • צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

                                                                                                                                                  • לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

                                                                                                                                                  השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

                                                                                                                                                  דרוש TLS ואמת את חותם האישור ושם המארח

                                                                                                                                                  • צמתי HDS מתחברים רק אם