מדריך פריסה עבור אבטחת נתונים היברידיים של Webex

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

עודכן יצירת תצורה ISO עבור מארחי HDS כדי להראות שניתן להשתמש ב-TLS עם מסדי נתונים של שרת SQL, שינויים בממשק המשתמש ובהבהרות אחרות.

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

29 באוגוסט 2019 נוסף הגדרת פרוקסי סקוויד עבור נספח אבטחת נתונים היברידיים עם הנחיות להגדרת פרוקסי סקוויד כדי להתעלם מתעבורת websocket לפעולה תקינה.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

כדי לגשת רק לתוכן התמיכה ב-Proxy עבור פריסה קיימת, עיין במאמר העזרה של Proxy עבור אבטחת נתונים היברידית ושל מאמר העזרה של Webex Video Mesh .

13 ביוני 2019 עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את HdsTrialGroup אובייקט קבוצה לפני הפעלת גרסת ניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always on Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.

תמיכת Microsoft SQL Server מיועדת לפריסות חדשות של אבטחת נתונים היברידית בלבד. אנחנו לא תומכים כרגע בהגירת נתונים מ-PostgreSQL ל-Microsoft SQL Server בפריסה קיימת.

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן היסוד של אבטחה זו היא הצפנת תוכן מקצה לקצה, המתאפשרת על ידי לקוחות Webex App באינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים לקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז נתוני ארגון שלך, כך שאיש מלבדך לא מחזיק את המפתחות לתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

***תחומי ההפרדה (ללא אבטחת נתונים היברידית)***

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, בואו נסתכל תחילה על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד בו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, הוא הגיוני ופיזי נפרד מתחום האבטחה במרכז הנתונים B. שניהם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex פועל במחשב הנייד של משתמש, ואימות עם שירות הזהויות. כאשר המשתמש מחבר הודעה לשליחה למרחב, יתבצעו השלבים הבאים:

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל אחסון זהות ותוכן) נשארים בממלכות של Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש באופן קבוע ביישום Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (משום שהוא נוצר על ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר הוא הבעלים של המפתח עבור המרחב, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש שלך בערוץ המקורי.

שירות ה-KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות אישורי PKI x.509. ראה הכנת הסביבה לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים שלך.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

אובדן מוחלט של התצורה ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יביא לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי websockets מאובטחים ו-HTTP מאובטח.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי על ה-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (אתה מגדיר את תצורת Syslogd ואת פרטי החיבור של מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכול להיות לך באשכול הוא שתיים. אנו ממליצים לפחות שלושה, ויכולים להיות לכם עד חמישה. צמתים מרובים מבטיחים שהשירות לא יקטע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם).

כל הצמתים באשכול מקבלים גישה לאותו מאגר נתונים של מפתח, ופעילות יומן רישום לאותו שרת syslog. הצמתים עצמם חסרי מדינה, ומטפלים בבקשות מפתח באופנה עגולה, כפי שמכוון על ידי הענן.

הצמתים הופכים לפעילים בעת רישום אותם ב-Control Hub. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

לאחר הגדרת פריסת אבטחת נתונים היברידיים, נסה אותה תחילה עם קבוצה של משתמשי פיילוט. במהלך תקופת הניסיון, משתמשים אלה משתמשים בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. המשתמשים האחרים שלך ממשיכים להשתמש בתחום אבטחת הענן.

אם תחליט לא להמשיך בפריסה במהלך גרסת הניסיון ולהשבית את השירות, משתמשי הפיילוט וכל המשתמשים שעמם הם יצרו מרחבים חדשים במהלך תקופת הניסיון יאבדו גישה להודעות ולתוכן. הם יראו "לא ניתן לפענח את ההודעה הזו" ביישום Webex.

אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אינך יכול לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

מרכז נתונים במצב המתנה להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים במצב המתנה מאובטח. במקרה של אסון במרכז נתונים, תוכל להיכשל באופן ידני בפריסה שלך אל מרכז הנתונים של המתנה.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***יתירות כשל ידניות למרכז נתונים במצב המתנה***

מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, אשר ימזער את הזמן הנדרש לביצוע יתירות כשל. קובץ ה-ISO של מרכז הנתונים במצב המתנה מתעדכן בתצורות נוספות המבטיחות שהצמתים רשומים לארגון, אך לא יטפל בתעבורה. לפיכך, הצמתים של מרכז הנתונים במצב המתנה נשארים תמיד מעודכנים עם הגרסה העדכנית ביותר של תוכנת HDS.

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה להלן כדי למקם את הצומת במצב פסיבי. במצב זה הצומת יירשם לארגון ויחובר לענן, אך לא יטפל בתעבורה.


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

לאחר קביעת התצורה passiveMode בקובץ ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ISO ללא passiveMode תצורה ושמור אותה במיקום מאובטח. עותק זה של קובץ ISO ללא passiveMode התצורה יכולה לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

תמיכת פרוקסי

אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. אתה יכול להשתמש בממשק ניהול פלטפורמה בצמתים לניהול אישורים וכדי לבדוק את מצב הקישוריות הכולל לאחר להגדיר ה-proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

תרשים זה מציג חיבור לדוגמה בין אבטחת הנתונים ההיברידיים, הרשת ופרוקסי. עבור אפשרויות הבדיקה השקופה והבקרה המפורשת של HTTPS, יש להתקין את אותה תעודת בסיס ב-proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. בפריסות עם תצורות פרוקסי מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת לא יכול לבדוק את שרתי ה-DNS, הוא נכנס אוטומטית למצב DNS חיצוני חסום. במצב זה, ניתן להמשיך ברישום צומת ובדיקות קישוריות פרוקסי אחרות.

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, עיין בפוסט בבלוג של Docker, " Docker מעדכן ומרחיב את מנויי המוצרים שלנו ".

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS לא אוכפת אילוצי שימוש במפתח או שימוש במפתח מורחב. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחבים במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 vCPUs, זיכרון ראשי של 16 ג'יגה בייט, מספיק שטח דיסק קשיח וניטור כדי להבטיח שהוא לא חורג (מומלץ 2 tb אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL	שרת Microsoft SQL
נהג JDBC Postgres 42.2.5	מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים שלך ב-Microsoft SQL Server, עליך לקבוע את התצורה הבאה בסביבה שלך:

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

צמתי אבטחת הנתונים ההיברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים שעוברים אל צמתי אבטחת הנתונים ההיברידיים, אין להציג יציאות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) קשרים. כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

ודא שארגון Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub, וקבל את פרטי הכניסה של חשבון עם זכויות מנהל מערכת של ארגון מלאות. פנה לשותף Cisco או למנהל החשבון שלך לקבלת עזרה בתהליך זה.

בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) והשיג שרשרת תעודות המכילה אישור X.509, מפתח פרטי וכל תעודת ביניים. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושה לך לפחות שני מארחים נפרדים (3 מומלצים) באותו מרכז נתונים מאובטח, שעונה על הדרישות בדרישות המארחים הווירטואליים.

הכן את שרת מסד הנתונים שיפעל כמאגר נתוני המפתח עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות מצומצם במרכז הנתונים המאובטח עם המארחים הווירטואליים.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירת פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

לקוחות יישום Webex מטמון את המפתחות שלהם, ולכן ייתכן שלא יבחין בהפסקה מיידית, אך יהפוך לברור לאורך זמן. בעוד אי אפשר למנוע הפסקות זמניות, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ התצורה ISO יגרמו לנתוני לקוחות בלתי ניתנים לשחזור. מפעילי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים ואת קובץ התצורה ISO, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצוניות.

התקנת Docker ( https://www.docker.com) בכל מחשב מקומי שבו פועל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080.

השתמש במופע דוקר כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את מידע התצורה המקומי עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שהארגון שלך יזדקק לרישיון שולחן עבודה של Docker. ראה דרישות שולחן העבודה של Docker לקבלת מידע נוסף.

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory שנקראת HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. הפגישה ב- HdsTrialGroup יש לסנכרן את האובייקט עם הענן לפני שתוכל להתחיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו ב-Directory Connector תצורה > תפריט בחירת אובייקט. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העתקים המאוחסנים במטמון של התוכן.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למכונה שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). השתמש בקובץ זה מאוחר יותר בתהליך ההתקנה.

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

אם הכרטיס מושבת או שאינך רואה אותו, פנה לצוות החשבון שלך או לארגון השותף שלך. תן להם את מספר החשבון שלך ובקש להפעיל את הארגון שלך עבור אבטחת נתונים היברידיים. כדי למצוא את מספר החשבון, לחץ על הציוד בפינה הימנית העליונה, לצד שם הארגון שלך.

ניתן גם להוריד את ה-OVA בכל עת ממקטע העזרה בדף הגדרות . בכרטיס אבטחת הנתונים ההיברידיים, לחץ על ערוך הגדרות כדי לפתוח את הדף. לאחר מכן, לחץ על הורד תוכנת אבטחת נתונים היברידית בקטע העזרה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן תשתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

כלי ההתקנה של HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מלאות עבור הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו נותנת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

הכלי משתמש בכניסה הראשונה של שם המשתמש כדי להגדיר את הסביבה המתאימה לחשבון זה. הכלי מציג לאחר מכן את בקשת הכניסה הסטנדרטית.

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של לקוח Control Hub ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ושם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת הודעת שגיאה המתארת את הבעיה. אתה יכול לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרי חיבור מסד נתונים מסוימים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר פג תוקף הסיסמאות שלך או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

גבו את קובץ התצורה ISO. אתה צריך אותו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר שם ותיקייה דף, הזן שם מחשב וירטואלי עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

אם אתה מעדיף, באפשרותך לדלג על תצורת הגדרת הרשת ולבצע את השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי להגדיר את ההגדרות מתוך מסוף הצומת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

ייתכן שתחווה עיכוב של מספר דקות לפני שהמיכל של הצומת יעלה. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה לא ניתן להיכנס.

הגדר את VM של אבטחת הנתונים ההיברידיים

השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים בפעם הראשונה ולהגדיר את אישורי הכניסה. באפשרותך גם להשתמש במסוף כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, הוא צריך להיחשף רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהלי המערכת שייתכן שיצטרכו לבצע שינויים. ודא שרק מנהלי מערכת אלה יוכלו לגשת אל מאגר הנתונים.

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT דורשת, תוכל לבטל את העגינה של קובץ ה-ISO לאחר שכל הצמתים יקלטו את שינויי התצורה. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

הגדרת תצורת צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה-proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר Proxy בדיקה שקוף או Proxy מפורש של HTTPS, תוכל להשתמש בממשק הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה-proxy מהממשק, ולפתור בעיות פוטנציאליות כלשהן.

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הגנרי שיצרת ב-Set Up the Hybrid Data Security VM, רושם את הצומת עם ענן Webex והופך אותו לצומת אבטחת נתונים היברידיים.

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

כדי להוסיף צמתים נוספים לאשכול שלך, אתה פשוט יוצר VMs נוספים ומגן על אותו קובץ תצורה ISO, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

בשלב זה, ה-VMs הגיבוי שיצרת ב-Complete the Prerequisites for Hybrid Data Security הם מארחי המתנה המשמשים רק במקרה של התאוששות מאסון; הם לא רשומים במערכת עד אז. לפרטים, ראה התאוששות מאסון באמצעות Standby Data Center.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לאחר שתגדיר אשכול אבטחת נתונים היברידיים, תוכל להפעיל פיילוט, להוסיף אליו משתמשים ולהתחיל להשתמש בו לבדיקה ואימות הפריסה שלך כהכנה למעבר לייצור.

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את HdsTrialGroup אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי הפיילוט, ולאחר מכן צור מרחב והזמן לפחות משתמש טייס אחד ומשתמש אחד שאינו טייס.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשי פיילוט ייצרו כבר לא יהיה נגיש לאחר החלפת עותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן אל kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

מחוון מצב ב-Control Hub מראה לך אם הכל תקין בפריסת אבטחת הנתונים ההיברידיים. לקבלת התראה יזומה יותר, הירשם לקבלת התראות דוא"ל. תקבל הודעה כאשר יהיו אזעקות המשפיעות על השירות או שדרוגי תוכנה.

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

לאחר הפעלת גרסת ניסיון והוספת את הקבוצה הראשונית של משתמשי גרסת הניסיון, באפשרותך להוסיף או להסיר חברי גרסת ניסיון בכל עת בזמן שגרסת הניסיון פעילה.

אם תסיר משתמש מהניסיון, הלקוח של המשתמש יבקש מקשים ויצירת מפתחות מתוך ה-KMS של הענן במקום ה-KMS שלך. אם הלקוח זקוק למפתח שמאוחסן ב-KMS שלך, ה-KMS של הענן יביא אותו בשם המשתמש.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום בהליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub אך לא ניתן להוסיף או להסיר אותם.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומית שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

אם, במהלך תקופת הניסיון שלך, תחליט לא להמשיך עם פריסת אבטחת הנתונים ההיברידיים שלך, תוכל להשבית את אבטחת הנתונים ההיברידיים, מה שמסיים את גרסת הניסיון ומעביר את משתמשי הניסיון בחזרה לשירותי אבטחת הנתונים בענן. משתמשי גרסת הניסיון יאבדו גישה לנתונים המוצפנים במהלך גרסת הניסיון.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידית נעשים באופן אוטומטי ברמת האשכול, דבר שמבטיח שכל הצמתים פועלים תמיד באותה גרסת תוכנה. שדרוגים נעשים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג את האשכול באופן ידני לפני זמן השדרוג המתוזמן. באפשרותך להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily United States: אמריקה/לוס אנג'לס. באפשרותך גם לבחור לדחות שדרוג הקרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

אנחנו לא תומכים בהעברת נתונים מ-PostgreSQL ל- Microsoft SQL Server, או בדרך ההפוכה. כדי להחליף את סביבת מסד הנתונים, התחל בפריסה חדשה של אבטחת נתונים היברידית.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, אבטחת נתונים היברידית משתמשת בסיסמאות חשבון שירות בעלות תוחלת חיים של תשעה חודשים. לאחר שכלי ה-HDS Setup יוצר את הסיסמאות הללו, אתה פורס אותן לכל אחד מצמתי HDS שלך בקובץ התצורה של ISO . כאשר הסיסמאות של הארגון שלך מתקרבות לתוקף, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (המייל כולל את הטקסט "השתמש ב- API של חשבון המכונה כדי לעדכן את הסיסמה") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי נותן לך שתי אפשרויות:

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

אם תוקף הסיסמאות שלך פג ללא איפוס, זה משפיע על שירות HDS שלך, ומחייב איפוס קשיח מיידי והחלפה של קובץ ה- ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו נותנת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

ודא שאתה מושך את כלי ההתקנה העדכני ביותר עבור הליך זה. לגרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אין את מסכי איפוס הסיסמה.

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

אם יש לך רק צומת HDS אחד פועל , צור צומת VM חדש של אבטחת נתונים היברידי ורשום אותו באמצעות קובץ ה- ISO התצורה החדש. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

עבור צמתי HDS קיימים שמריצים את קובץ תצורה הישן יותר, התקן את קובץ ה- ISO . בצע את ההליך הבא על כל צומת בתורו, עדכן כל צומת לפני כיבוי הצומת הבא:

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה-Proxy של הצומת, התהליך בודק את בדיקת ה-DNS ואת הקישוריות לענן Cisco Webex. אם שרת ה-DNS של הצומת אינו מצליח לפתור שמות DNS ציבוריים, הצומת נכנס אוטומטית למצב רזולוציית DNS חיצונית חסומה.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לכבות מצב זה על-ידי איפוס בדיקת חיבור ה-proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

אם לא תמחק את ה-VM, זכור לבטל את העגינה של קובץ ה-ISO של התצורה. ללא קובץ ISO, אינך יכול להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים שלך מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותכנים אחרים המאוחסנים בענן Webex. עבור כל משתמש בארגון שמוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל משתמש המורשה לאחזר אותם, לדוגמה, חברי מרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מקשים אלה, הכרחי שהאשכול יישאר פועל ושגיבויים נשמרו תקינים. אובדן מסד הנתונים ההיברידי של אבטחת הנתונים או של התצורה ISO המשמשת לסכמה יגרום לאובדן בלתי ניתן לשחזור של תוכן לקוח. השיטות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להפוך ללא זמין, בצע את ההליך כדי לבצע יתירות כשל ידנית למרכז הנתונים במצב המתנה.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה להלן או הסר את התצורה passiveMode תצורה כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך פעיל שוב, מקם את מרכז הנתונים במצב פסיבי שוב על-ידי ביצוע השלבים המתוארים ב-Setup Standby Data Center for Disaster Recovery.

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

תצורת ה-HDS הסטנדרטית פועלת עם ה-ISO המותקן. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מחוברים ברציפות. באפשרותך לבטל את העגינה של קובץ ISO לאחר שכל צמתי HDS יקלטו את התצורה החדשה.

אתה עדיין משתמש בקבצי ISO כדי לבצע שינויים בתצורה. בעת יצירת ISO חדש או עדכון ISO דרך כלי ההגדרה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS. ברגע שכל הצמתים שלך קולטים את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב עם הליך זה.

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך, עד שהזמן מסתיים. אם משתמשים לא יכולים להגיע לאשכול אבטחת הנתונים ההיברידיים שלך, הם חווים את התסמינים הבאים:

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

אם קיימת בעיה עם הגדרת אבטחת הנתונים ההיברידיים, Control Hub מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. התראות מכסות תרחישים נפוצים רבים.

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

חזור ל- השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. אתה תשתמש ב- hdsnode.p12 קובץ, והסיסמה שהגדרת עבורו, ב- צור תצורה ISO עבור מארחי HDS.

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

צמתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור Heap max, ערימה בשימוש, עומס CPU וספירת חוטים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר נתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהדרישה).

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket ( wss:) חיבורים שאבטחת נתונים היברידיים דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של סקוויד כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

בדקנו בהצלחה אבטחת נתונים היברידיים עם הכללים הבאים שנוספו אל squid.conf. כללים אלה כפופים לשינוי כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכת פרוקסי
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכת פרוקסי
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

פברואר 28, 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכת פרוקסי

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com ‫* מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי הבודקים תעבורת אינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בהנחיית הסיסמה, הזן את ה-hash הזה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר שרת מסד נתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דורש TLS

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישורים

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

דרוש TLS ואמת את חותם האישור ושם המארח

צמתי HDS מתחברים רק אם שרת מסד נתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפסיק את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים בדיוק, אחרת הצומת מבטל את החיבור.

השתמש ב- תעודת בסיס מסד נתונים שליטה מתחת לתפריט הנפתח כדי להעלות את תעודת בסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם רלוונטי, סנכרן את `HdsTrialGroup` אובייקט קבוצה. אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את `HdsTrialGroup` אובייקט קבוצה עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

1	היכנס אל https://admin.webex.com, ולאחר מכן בחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח אל ה-KMS, סנן פועל kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן פועל kms.data.method=retrieve ו- kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ שמור .

מעבר מגרסת ניסיון לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס אל רכזת בקרה .
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערה: תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידית שלך מסיבה כגון:

שינוי תעודות x.509 עקב תפוגה או סיבות אחרות.

אנחנו לא תומכים בשינוי שם דומיין CN של אישור. הדומיין חייב להתאים לדומיין המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים לשינוי לעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

איפוס רך —הסיסמה הישנה והחדשה פועלות שתיהן עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשה — הסיסמאות הישנות מפסיקות לפעול מיד.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

תיאור	משתנה
HTTP Proxy ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

אתה צריך עותק של קובץ ה- ISO התצורה הנוכחית כדי ליצור תצורה חדשה. ה- ISO מכיל את מפתח האב המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה צריך את ה- ISO כשאתה מבצע שינויים בתצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות הרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה של HDS.

בשורת הפקודה של המחשב שלך, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שתוכל להתעלם ממנה.

כדי להיכנס ל-Docker Image Registry, הזן את הפרטים הבאים:
```
docker login -u hdscustomersro
```
בהנחיית הסיסמה, הזן את ה-hash הזה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המשיכה תסתיים, הזן את הפקודה המתאימה עבור הסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הקונטיינר פועל, אתה רואה "שרת אקספרס מאזין ביציאה 8080."

השתמש בדפדפן כדי להתחבר למארח המקומי, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

כאשר תתבקש, הזן את פרטי הכניסה ללקוח Control Hub ולאחר מכן לחץ קבל להמשיך.
ייבא את קובץ ה- ISO התצורה הנוכחית.
עקוב אחר ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן מרכז נתונים אחר.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
התקן את קובץ תצורה המעודכן.
רשום את הצומת החדש ב-Control Hub.

כבה את מחשב וירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחיצה ימנית על ה- VM ולחץ ערוך הגדרות .
לחץ CD/DVD Drive 1, בחר באפשרות לעלות מקובץ ISO , ודפדף אל המיקום שבו הורדת את קובץ ה- ISO התצורה החדש.
בדוק התחבר עם הדלקה .
שמור את השינויים וההפעלה שלך מחשב וירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

כבה מצב רזולוציה של DNS חיצוני חסום

לפני שתתחיל

ודא ששרתי ה-DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, והצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידיים (כתובת IP/הגדרה, לדוגמה, https://192.0.2.0/setup), הזן את פרטי הכניסה של מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.
2	עבור אל Overview (דף ברירת המחדל). כאשר מופעל, רזולוציית DNS חיצונית חסומה מוגדר ל כן .
3	עבור אל הדף של Trust Store ו-Proxy .
4	לחץ על בדוק את חיבור ה-Proxy. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS ויישאר במצב זה. אחרת, לאחר שאתחל מחדש את הצומת ותחזור לדף התצוגה , יש להגדיר רזולוציית DNS חיצונית חסומה כלא.

מה הלאה?

חזור על בדיקת חיבור ה-Proxy בכל צומת באשכול אבטחת הנתונים ההיברידיים שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחצו על פעולות > בטל רישום של צומת.

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחיקה.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'false'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את Datastore ISO קובץ.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי רשות אישורים מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראוhttps://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה- CA שלך, שמור אותו כ- `hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -noout -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודות שנקרא `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 -in hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: kms-private-key`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

מה הלאה?

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר דרך Proxy של סקוויד

דיונון 4 ו-5

הוסף את on_unsupported_protocol הנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת במאגר ciscocitg dockerhub.
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

21 ביוני 2020

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכה בפרוקסי
קביעת התצורה של צומת HDS עבור שילוב Proxy
ביטול מצב רזולוציית DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכה בפרוקסי
דרישות שרת פרוקסי
קביעת התצורה של צומת HDS עבור שילוב Proxy

13 ביוני 2019 עדכון גרסת הניסיון לזרימת משימת ייצור עם תזכורת לסנכרן את אובייקט קבוצת HdsTrialGroup לפני הפעלת גרסת הניסיון אם הארגון שלך משתמש בסנכרון ספר טלפונים.

6 במרץ 2019

דרישות ותנאים מוקדמים הועברו לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

27 בפברואר 2020

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

ינואר 24, 2019

אבטחת נתונים היברידית תומכת כעת ב-Microsoft SQL Server כמסד נתונים. SQL Server Always On ‏(Always On Failover Cluster and Always On Availability Groups) נתמך על ידי מנהלי התקן JDBC המשמשים באבטחת נתונים היברידיים. הוספת תוכן הקשור לפריסה עם שרת SQL.

5 בנובמבר 2018

נוסף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעל על ידי לקוחות יישום Webex אינטראקציה עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדרת אבטחת נתונים היברידיים - הדבר כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך - ענן Webex מספק אוטומטית שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבין התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות - אם תיתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח הבעיות המוכרות עשוי לסייע לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים באשכול אחד בלבד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

אם אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון ואתה מוכן להרחיב את אבטחת הנתונים ההיברידיים לכל המשתמשים שלך, אתה מעביר את הפריסה לייצור. משתמשי הפיילוט ממשיכים לקבל גישה למפתחות שהיו בשימוש במהלך גרסת הניסיון. עם זאת, אין באפשרותך לעבור הלוך ושוב בין מצב הייצור לגרסת הניסיון המקורית. אם עליך להשבית את השירות, כגון לבצע התאוששות מאסון, כאשר אתה מפעיל מחדש, עליך להתחיל גרסת ניסיון חדשה ולהגדיר את קבוצת משתמשי הפיילוט לגרסת הניסיון החדשה לפני שתחזור למצב ייצור. אם המשתמשים שומרים על גישה לנתונים בשלב זה, תלוי אם שמרת בהצלחה גיבויים של מאגר נתוני המפתח ואת קובץ התצורה של ISO עבור צמתי אבטחת הנתונים ההיברידיים באשכול שלך.

מרכז נתונים במצב המתנה להתאוששות מאסון

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ואת מסד הנתונים הראשי PostgreSQL או SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים במצב המתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ואת מסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ISO, ומסד הנתונים במצב המתנה. — ***יתירות כשל ידניות למרכז נתונים במצב המתנה***

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי VM המריצים את HDS, לסביבת הגיבוי צריכה להיות 3 VMs. (ראו Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

 מצב פסיבי: "אמת"

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

לאחר קביעת התצורה passiveMode בקובץ ה-ISO ולשמור אותו, באפשרותך ליצור עותק נוסף של קובץ ה-ISO ללא התצורה passiveMode ולשמור אותו במיקום מאובטח. עותק זה של קובץ ISO ללא מצב מוגדר פסיבי יכול לעזור בתהליך יתירות כשל מהיר במהלך התאוששות מאסון. ראה התאוששות מאסון באמצעות Standby Data Center להליך יתירות כשל מפורט.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS ב-Trust Store ובתצורת Proxy כדי לשלב proxy. אין צורך בעדכון אישורים.
Proxy שקוף שאינו בודק—הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS איזה שרת proxy וסכמת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
  - HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-לא נדרש אימות נוסף.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
    
    זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

אתה חייב להיות Pro Pack עבור Cisco Webex Control Hub. (ראוhttps://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

לפני התקנת צומתי HDS, יש צורך ב-Docker Desktop כדי להפעיל תוכנית התקנה. דוקר עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך ידרוש מנוי בתשלום עבור Docker Desktop. לפרטים, ראו את הפוסט בבלוג של דוקר, "דוקר מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין שמוגדר בשדות X.509V3 SAN. לאחר שרשמת צומת עם תעודה זו, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את האישור, המפתח הפרטי וכל אישורי ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: .wbx2.com .ciscospark.com כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	*.wbx2.com כל מארחי הזהות המשותפת hub.docker.com

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת פרוקסי

אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).

פרוקסי מפורש – דיונון.

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמתם של חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת Squid Proxy עבור אבטחת נתונים היברידית.

אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי באמצעות HTTP או HTTPS
- לעכל אימות באמצעות HTTPS בלבד
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

בחר שם דומיין עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת תעודות המכילה אישור X.509, מפתח פרטי ואישורי ביניים כלשהם. שרשרת התעודות חייבת לעמוד בדרישות בתעודות X.509.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

לצורך התאוששות מהירה של אסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכשירי VM ושרת מסד נתונים לגיבוי. לדוגמה, אם לייצור יש 3 צמתי VM הפועלים על HDS, לסביבת הגיבוי צריכה להיות 3 VMs.

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

התקנת Docker ( https://www.docker.com) בכל מכונה מקומית המפעילה מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב-⁦http://127.0.0.1:8080.⁩

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

אם הארגון שלך משתמש בסנכרון ספר טלפונים, צור קבוצה ב-Active Directory בשם HdsTrialGroup, והוסף משתמשי פיילוט. קבוצת הניסיון יכולה לכלול עד 250 משתמשים. יש לסנכרן את אובייקט HdsTrialGroup לענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. כדי לסנכרן אובייקט קבוצה, בחר אותו בתפריט 'תצורת > בחירת אובייקטים '. (לקבלת הוראות מפורטות עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.)

מפתחות עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. בעת בחירת משתמשים בפיילוט, יש לזכור שאם תחליט להשבית לצמיתות את פריסת אבטחת הנתונים ההיברידיים, כל המשתמשים מאבדים גישה לתוכן במרחבים שנוצרו על-ידי משתמשי הפיילוט. האובדן הופך לברור ברגע שיישומי המשתמשים מרענן את העותקים המאוחסנים במטמון של התוכן.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

הגדר את ה-VM של אבטחת הנתונים ההיברידיים

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

קביעת התצורה של צומת HDS עבור שילוב Proxy

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שבו תשתמש עבור הצומת, והוסף את אישור ה-Proxy למאגר האמון במידת הצורך.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל גרסת ניסיון והעבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על 'הגדר'.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`נציג_גלובלי_HTTP_PROXY=http://server_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT`
HTTP Proxy עם אימות	`נציג גלובלי__HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

כניסת דוקר -u hdscustomersro

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker משיכה ciscocitg/hds-setup:stable

בסביבות FedRAMP:

דוקר משיכה ciscocitg/hds-setup-fedramp:stable

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות קבועות עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 -- rm - ciscocitg/hds-setup-fedramp: stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן—אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: יש צורך בחשבון Windows בתבנית username@DOMAIN בשדה שם המשתמש.
הזן את כתובת שרת מסד הנתונים בצורה : או :.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים מ-TLS להתחבר לשרת מסד הנתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת חותמת אישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS וודא חותם אישור ושם מארח

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

כאשר אתה מעלה את תעודת הבסיס (אם יש צורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם התעודה ושם המארח, אם ישים. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלים בקישוריות, צמתי ה-HDS עשויים להיות מסוגלים ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא יכולה לבדוק אותו בהצלחה.)

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תבחר בתיבת סימון זו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n-בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxגודל: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבו את קובץ התצורה ISO. אתה זקוק לו כדי ליצור עוד צמתים להתאוששות, או כדי לבצע שינויי תצורה. אם מאבדים את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על Next.

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו הפריסה של צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

בדף בחר משאב חישוב , בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאבים בדף התצורה , לחץ על 4 CPU ולאחר מכן לחץ על Next.

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק המוגדרת כברירת מחדל ואת מדיניות האחסון של ה-VM.

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח—הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP- הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת ה-NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על VM של הצומת, ולאחר מכן בחר Power > Power On.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

הגדר את ה-VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `מנהל מערכת` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה .
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ על CD/DVD Drive 1, בחר את האפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
דרישות שרת פרוקסי

1	הזן את כתובת ה- URL `של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה` בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.
2	עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. אין צורך בעדכון אישורים. Proxy שקוף שאינו בודק—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. אין צורך בעדכון אישורים. Proxy בדיקה שקוף – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-לא נדרש אימות נוסף. זמין עבור פרוקסי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור פרוקסי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת. זמין עבור פרוקסי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.
3	לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזאת שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.
6	לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות.
7	לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך כדי לגשת לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל גרסת ניסיון והעבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל

1	אם ישים, סנכרן את אובייקט קבוצת `HdsTrialGroup` . אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את אובייקט קבוצת `HdsTrialGroup` עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.
2	הפעל גרסת ניסיון התחל גרסת ניסיון. עד שתבצע משימה זו, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות עדיין לא מופעל.
3	בדוק את פריסת אבטחת הנתונים ההיברידיים שלך בדוק שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.
4	ניטור בריאות אבטחת נתונים היברידיים בדוק מצב והגדר התראות בדוא"ל עבור התראות.
5	הוסף או הסר משתמשים מגרסת הניסיון שלך
6	השלם את שלב הניסיון באחת מהפעולות הבאות: מעבר מגרסת ניסיון לייצור סיים את גרסת הניסיון שלך מבלי לעבור לייצור

הפעל גרסת ניסיון

לפני שתתחיל

אם הארגון שלך משתמש בסנכרון ספר טלפונים עבור משתמשים, עליך לבחור את אובייקט קבוצת HdsTrialGroup עבור סנכרון בענן לפני שתוכל להפעיל גרסת ניסיון עבור הארגון שלך. לקבלת הוראות, עיין במדריך הפריסה עבור מחבר ספר הטלפונים של Cisco.

1	היכנס אל https://admin.webex.com ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על הפעלת גרסת ניסיון. מצב השירות משתנה למצב גרסת ניסיון.
4	לחץ על הוסף משתמשים והזן את כתובת הדוא"ל של משתמש אחד או יותר כדי לפיילוט באמצעות צמתי אבטחת הנתונים ההיברידיים שלך לצורך הצפנה ושירותי אינדוקס. (אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory כדי לנהל את קבוצת הניסיון, `HdsTrialGroup`.)

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנת אבטחת נתונים היברידיים.

לפני שתתחיל

הגדר את פריסת אבטחת הנתונים ההיברידיים שלך.
הפעל את גרסת הניסיון, והוסף מספר משתמשי גרסת ניסיון.
ודא שיש לך גישה ל-syslog כדי לאמת שבקשות מפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

שלח הודעות למרחב החדש.

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

כדי לבדוק אם משתמש יוצר ערוץ מאובטח ל-KMS, סנן ב-kms.data.method=create and kms.data.type=EPHEMERAL__COLLECTION:

עליך למצוא ערך כגון אלה (המזהים המקוצרים לקריאה):

2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5. n.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, KmsData.method - צור, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5. n.us, kms.data.type=ארעי_מפתח_קולקציה, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5. n.us/ecdhe, kms.data.userId=0[~]2

כדי לבדוק אם משתמש המבקש מפתח קיים מה-KMS, סנן באמצעות kms.data.method=אחזר ו-kms.data.type=KEY:

עליך למצוא ערך כגון:

2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזר, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור מפתח KMS חדש, סנן פועל KmsData.method - צור וכן kms.data.type=מפתח_קולקציה:

עליך למצוא ערך כגון:

2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

כדי לבדוק אם משתמש המבקש ליצור אובייקט משאב חדש של KMS (KRO) כאשר נוצר מרחב או משאב מוגן אחר, סנן לפי kms.data.method=create and kms.data.type=RESOURCE COLLECTION_:

עליך למצוא ערך כגון:

2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS:REQUEST] התקבל, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5. n.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור בריאות אבטחת נתונים היברידיים

1	ב-Control Hub, בחר שירותים מהתפריט בצד שמאל של המסך.
2	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על הגדרות. דף הגדרות אבטחת הנתונים ההיברידיים מופיע.
3	במקטע 'הודעות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים, ולחץ על Enter.

הוסף או הסר משתמשים מגרסת הניסיון שלך

אם הארגון שלך משתמש בסנכרון ספר טלפונים, השתמש ב-Active Directory (במקום הליך זה) כדי לנהל את קבוצת הניסיון, HdsTrialGroup; באפשרותך להציג את חברי הקבוצה ב-Control Hub, אך אין באפשרותך להוסיף או להסיר אותם.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'מצב ניסיון' באזור 'מצב שירות', לחץ על הוסף משתמשים, או לחץ על תצוגה ועריכה כדי להסיר משתמשים מהגרסת הניסיון.
4	הזן את כתובת הדוא"ל של משתמש אחד או יותר להוספה, או לחץ על X באמצעות מזהה משתמש כדי להסיר את המשתמש מהניסיון. לאחר מכן לחץ על שמור.

מעבר מגרסת ניסיון לייצור

כאשר אתה מרוצה שהפריסה שלך פועלת היטב עבור משתמשי גרסת הניסיון, תוכל לעבור לייצור. כאשר תעבור לייצור, כל המשתמשים בארגון ישתמשו בדומיין אבטחת הנתונים ההיברידיים המקומיים שלך עבור מפתחות הצפנה ושירותי תחום אבטחה אחרים. אינך יכול לחזור למצב ניסיון מהייצור אלא אם תשבית את השירות כחלק מהתאוששות מאסון. הפעלה מחדש של השירות דורשת ממך להגדיר גרסת ניסיון חדשה.

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'סטטוס שירות', לחץ על העבר להפקה.
4	אשר שברצונך להעביר את כל המשתמשים שלך לייצור.

סיים את גרסת הניסיון שלך מבלי לעבור לייצור

1	היכנס ל-Control Hub ובחר שירותים.
2	תחת אבטחת נתונים היברידיים, לחצו על הגדרות.
3	בקטע 'השבת', לחצו על השבת.
4	אשר שברצונך להשבית את השירות ולסיים את גרסת הניסיון.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

כדי להגדיר את לוח הזמנים לשדרוג:

1	היכנס למרכז הבקרה.
2	בדף 'סקירה', תחת 'שירותים היברידיים', בחר 'אבטחת נתונים היברידיים' .
3	בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.
4	בלוח 'סקירה' מימין, תחת 'הגדרות אשכול', בחר את שם האשכול.
5	בדף 'הגדרות', תחת 'שדרוג', בחר את אזור הזמן והזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך השדרוג והשעה הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על ידי לחיצה על דחה.

שינוי תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:

שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

איפוס רך - הסיסמאות הישנות והחדשות פועלות למשך עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
איפוס קשיח - הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) באמצעות משתני סביבה של דוקר בעת העלאת המכולה ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

תיאור	משתנה
HTTP Proxy ללא אימות	`נציג_גלובלי_HTTP_PROXY=http://server_IP:PORT`
פרוקסי HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT`
HTTP Proxy עם אימות	`נציג גלובלי__HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`
פרוקסי HTTPS עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_:PORT`

דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:
```
כניסה דוקר -u hdscustomersro
```
בשורת הסיסמה, הזן גיבוב זה:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker משיכה ciscocitg/hds-setup:stable

בסביבות FedRAMP:

דוקר משיכה ciscocitg/hds-setup-fedramp:stable

הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא פרוקסי:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup:stable

בסביבות רגילות עם HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא פרוקסי:

docker run -p 8080:8080 -- rm - ciscocitg/hds-setup-fedramp: stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר אל localhost.

כשתתבקש, הזן את אישורי הכניסה של לקוח Control Hub ולחץ על Accept כדי להמשיך.
ייבא את קובץ ה- ISO הנוכחי של התצורה.
בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.
צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

אם יש לך רק צומת HDS אחד שפועל, צור VM צומת אבטחת נתונים היברידית חדש ורשום אותו באמצעות קובץ התצורה החדש של ISO. לקבלת הוראות מפורטות יותר, ראה יצירה ורשום צמתים נוספים.

התקן את OVA המארח HDS.
הגדר את ה-HDS VM.
הרכיב את קובץ התצורה המעודכן.
רשום את הצומת החדש במרכז הבקרה.

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

כבה את המחשב הווירטואלי.
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.
לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.
בדוק את 'התחבר' בעת ההפעלה.
שמור את השינויים והחשמל במחשב הווירטואלי.

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.

1	בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.
2	עבור אל סקירה כללית (דף ברירת המחדל). כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .
3	עבור אל דף חנות האמון וה- Proxy .
4	לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi ולהפעיל את המחשב הווירטואלי.

הסר את הצומת:

היכנס ל-Control Hub ובחר שירותים.
בכרטיס אבטחת הנתונים ההיברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת הנתונים ההיברידיים'.
בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית'.
לחץ על רשימת צמתים פתוחים.
בלשונית הצמתים, בחר את הצומת שברצונך להסיר.
לחץ על פעולות > צומת ביטול רישום.

בלקוח vSphere, מחק את VM. (בחלונית הניווט השמאלית, לחצו לחיצת עכבר ימנית על מכשיר ה-VM ולחצו על מחק.)

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות

בדף הגדרות מתקדמות , הוסף את התצורה למטה או הסר את התצורה passiveMode כדי להפוך את הצומת לפעיל. הצומת יכול לטפל בתעבורה ברגע שתצורתה נקבעה.

 מצב פסיבי: "לא נכון"

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור את עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת הנתונים ההיברידיים שצריכים לבצע שינויי תצורה.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את פלט syslog כדי לוודא שהצמתים של מרכז הנתונים במצב פסיבי. "KMS מוגדר במצב פסיבי" לא צריך להופיע ב-SYSLOGS.

מה הלאה?

(אופציונלי) בטל עגינה של ISO לאחר תצורת HDS

לפני שתתחיל

שדרג את כל צמתי ה-HDS שלך לגירסה 2021.01.22.4720 ואילך.

1	כבה את אחד מצמתי ה-HDS שלך.
2	ב-vCenter Server Appliance, בחר את צומת HDS.
3	בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ Datastore ISO.
4	מתח על צומת HDS וודא שאין התראות למשך 20 דקות לפחות.
5	חזור עבור כל צומת HDS בתורו.

פתרון בעיות באבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

לא ניתן ליצור מרחבים חדשים (אין אפשרות ליצור מפתחות חדשים)
הודעות וכותרות המרחב נכשלות בפענוח:
- משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
- משתמשים קיימים במרחב באמצעות לקוח חדש (לא ניתן להשיג מפתחות)
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחותיהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותטפל בהתראות כלשהן באופן מיידי כדי למנוע שיבוש בשירות.

התראות

טבלה 1. בעיות נפוצות והצעדים לפתור אותן
התראה	פעולה
כשל בגישה למסד נתונים מקומי.	בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומיות.
כשל בחיבור מסד נתונים מקומי.	בדוק ששרת מסד הנתונים זמין, והאישורים הנכונים של חשבון השירות שימשו בתצורת צומת.
כשל בגישה לשירות הענן.	בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצוניות.
חידוש רישום שירות הענן.	הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.
רישום שירות הענן ירד.	הרישום לשירותי הענן הסתיים. השירות נסגר.
השירות עדיין לא הופעל.	הפעל גרסת ניסיון, או סיים להעביר את גרסת הניסיון לייצור.
הדומיין שהוגדר לא תואם לתעודת השרת.	ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות המוגדר. הסיבה הסבירה ביותר היא ש-CN התעודה השתנה לאחרונה ועכשיו שונה מ-CN ששימש במהלך ההגדרה הראשונית.
אימות מול שירותי הענן נכשל.	בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.
פתיחת קובץ Keystore מקומי נכשלה.	בדוק אם יש תקינות ודיוק של הסיסמה בקובץ Keystore המקומי.
תעודת שרת מקומית אינה חוקית.	בדוק את תאריך התפוגה של אישור השרת ואשר שהוא הונפק על-ידי Certificate Authority מהימנה.
לא ניתן לפרסם מדדים.	בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.
הספרייה /media/configdrive/hds לא קיימת.	בדוק את תצורת ההתקנה של ISO במארח וירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לעגינה בעת אתחול, ושהוא עגינה בהצלחה.

פתרון בעיות באבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.

1	סקור את Control Hub עבור כל התראות ותקן כל פריט שתמצא שם.
2	סקור את פלט שרת syslog עבור פעילות מתוך פריסת אבטחת הנתונים ההיברידיים.
3	פנה לתמיכה של Cisco.

הערות נוספות

בעיות מוכרות עבור אבטחת נתונים היברידיים

אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Control Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה שלך או תאבד את הגישה למסד הנתונים של חנות המפתח, משתמשי יישום Webex לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. זה חל הן על פריסות גרסת ניסיון והן על פריסות ייצור. אין לנו כרגע פתרון לעקיפת הבעיה הזו ומפציר בך לא לסגור את שירותי HDS שלך לאחר שהם מטפלים בחשבונות משתמש פעילים.
לקוח בעל חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת). כאשר משתמש הופך לחבר בגרסת ניסיון לאבטחת נתונים היברידיים, לקוח המשתמש ממשיך להשתמש בחיבור ה-ECDH הקיים עד שהוא מסתיים. לחלופין, המשתמש יכול לצאת ולהתחבר ליישום Webex App כדי לעדכן את המיקום שאליו מתקשר היישום עבור מפתחות הצפנה.

אותה התנהגות מתרחשת כאשר אתה מעביר גרסת ניסיון לייצור עבור הארגון. כל המשתמשים שאינם גרסת ניסיון עם חיבורי ECDH קיימים לשירותי אבטחת הנתונים הקודמים ימשיכו להשתמש בשירותים אלה עד לחיבור ECDH מחדש (באמצעות סיום זמן הפעלה או יציאה וחזרה).

השתמש ב-OpenSSL ליצירת קובץ PKCS12

לפני שתתחיל

OpenSSL הוא כלי אחד שיכול לשמש כדי להפוך את קובץ PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים בדרך זו על פני אחרת.
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כקו מנחה שיסייע לך ליצור קובץ שעומד בדרישות אישור X.509 בדרישות אישור X.509. הבינו את הדרישות האלה לפני שאתם ממשיכים.
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
צור מפתח פרטי.
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1	כאשר אתה מקבל את אישור השרת מה-CA שלך, שמור אותו כ-`hdsnode.pem`.
2	הצג את האישור כטקסט ואמת את הפרטים. `openssl x509 -text -nos -in hdsnode.pem`
3	השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם `hdsnode-bundle.pem`. קובץ החבילה חייב לכלול את אישור השרת, כל אישורי CA ביניים, ואת אישורי CA הבסיס, בתבנית שלהלן: `------- אישור בגין--------- תעודת שרת #### ------- אישור סיום--------------------------------------------------------------- אישור CA ביניים. ------- אישור סיום--------------------------------------------------------------- אישור CA של בסיס ----- תעודת סיום------`
4	צור את קובץ ה-.p12 עם השם הידידותי `kms-private-key`. `openssl pkcs12 -ייצוא -inkey hdsnode-key -in hdsnode.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	בדוק את פרטי תעודת השרת. `openssl pkcs12 - ב hdsnode.p12` הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהיא תופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את הקווים `friendlyName: מקש ה־ KMS-פרטי`. דוגמה: bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמת יבוא: MAC מאומת תכונות תיק אישור friendlyName: kms- private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות עיקריות: הזן ביטוי מעבר PEM: מאמת - הזן ביטוי סיסמה PEM: ------BEGIN מפתח פרטי מוצפן-------- -----end מוצפן פרטי--------תכונות תיק friendlyName: kms- private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6. n.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- ----END CERTIFICATE------Bag Attributes friendlyName: CN=Let'S EncrypT Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let'S EncrypT Authority X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE ----- -----END CERTIFICATE -----

מה הלאה?

חזור ל-השלמת הדרישות המקדימות עבור אבטחת נתונים היברידית. תשתמש בקובץ hdsnode.p12 והסיסמה שהגדרת עבורו, צור תצורה ISO עבור מארחי HDS.

באפשרותך להשתמש מחדש בקבצים האלה כדי לבקש תעודה חדשה כאשר תוקף התעודה המקורית יפוג.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצא

תעבורה נכנסת

צמתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

בקשות הצפנה מלקוחות, שמנותבות על-ידי שירות ההצפנה
שדרוגים לתוכנת הצומת

קביעת התצורה של שרתי Squid לאבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

פרוקסי סקוויד שבוחנים תעבורת HTTPS יכול להפריע להקמת websocket (wss:) חיבורים שאבטחת נתונים היברידית דורשת. חלקים אלה נותנים הדרכה כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תעבורה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה ל-squid.conf:

on_unsupported_protocol מנהרה הכל

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

Acl wssMercuryConnection ssl::server_name_regex תפוס ssl_bump חיבור כספית wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 Acl step3 at_step SslBump3 ssl_bump הצצה צעד1 כל ssl_bump stare צעד2 כל ssl_bump צעד צעד3 הכל

הקדמה

מידע חדש ומידע שהשתנה

תאריך

שינויים שבוצעו

20 באוקטובר 2023

מידע מעודכן בדרישות שרת מסד נתונים.
נוסף Setup Standby Data Center for Disaster Recovery.
מידע מעודכן ב-Standby Data Center for Disaster Recovery and Disaster Recovery באמצעות Standby Data Center.

07 באוגוסט 2023

הוספת הערה ב- הורד קובצי התקנה.
הוספת הערה ב-יצירת ISO תצורה עבור מארחי HDS ושינוי תצורת הצומת.

23 במאי 2023

מידע שנמחק מדרישות שרת מסד נתונים מבקש להפעיל תכונה על-ידי יצירת קשר עם צוות החשבון.
עודכן מידע בדרישות קישוריות חיצוניות והוסיף את קנדה לטבלת מארחי CI.
הוספת הערה ב-ציפיות לפריסת אבטחת נתונים היברידית לגבי חוסר זמינות של מנגנונים להעברת המפתחות לענן.

06 בדצמבר 2022

תמונות כלי הגדרת HDS מתארחות כעת ב- ciscocitg מאגר dockerhub
עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את נושאי תצורת הצומת כדי לשנות את השינויים בפקודות.

23 בנובמבר 2022

צמתי HDS יכולים כעת להשתמש באימות Windows מול Microsoft SQL Server.

עדכון הנושא של דרישות שרת מסד הנתונים עם דרישות נוספות עבור מצב אימות זה.

עודכן יצירת ISO תצורה עבור מארחי HDS עם הליך להגדרת אימות Windows בצמתים.
עדכון נושא דרישות שרת מסד הנתונים עם גרסאות חדשות מינימליות הנדרשות (PostgreSQL 10).

13 באוקטובר 2021

שולחן העבודה של Docker צריך להפעיל תוכנית התקנה לפני שתוכל להתקין צומתי HDS. ראה דרישות שולחן העבודה של Docker.

24 ביוני 2021

30 באפריל 2021

שינה את דרישת ה-VM עבור שטח דיסק קשיח מקומי ל-30 GB. ראה דרישות המארח הווירטואלי לקבלת פרטים.

24 בפברואר 2021

כלי הגדרת HDS יכול כעת להפעיל מאחורי Proxy. ראה יצירת ISO תצורה עבור מארחי HDS לקבלת פרטים.

2 בפברואר 2021

HDS יכול כעת לפעול ללא קובץ ISO מותקן. ראה (אופציונלי) בטל עגינה של ISO לאחר הגדרת HDS לקבלת פרטים.

11 בינואר 2021

נוסף מידע על כלי הגדרת HDS ו-PROXY כדי ליצור תצורה ISO עבור מארחי HDS.

13 באוקטובר 2020

8 באוקטובר 2020

עודכן יצירת ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם פקודות עבור סביבות FedRAMP.

14 באוגוסט 2020

עודכן צור ISO תצורה עבור מארחי HDS ושנה את תצורת הצומת עם שינויים בתהליך הכניסה.

5 באוגוסט 2020

עדכון בדוק את פריסת אבטחת הנתונים ההיברידיים שלך עבור שינויים בהודעות יומן רישום.

עודכנו דרישות המארח הווירטואלי כדי להסיר את מספר המארחים המקסימלי.

16 ביוני 2020

עודכן הסר צומת עבור שינויים בממשק המשתמש של Control Hub.

4 ביוני 2020

עודכן יצירת ISO תצורה עבור מארחי ה-HDS עבור שינויים בהגדרות המתקדמות שעשויות להגדיר.

29 במאי 2020

5 במאי 2020

עודכנו דרישות מארח וירטואלי כדי להציג דרישה חדשה של ESXi 6.5.

21 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מארחי CI אמריקאיים חדשים.

1 באפריל 2020

עודכנו דרישות קישוריות חיצוניות עם מידע על מארחי CI אזוריים.

20 בפברואר 2020 עודכן יצירת תצורה ISO עבור מארחי HDS עם מידע על מסך הגדרות מתקדמות אופציונלי חדש בכלי הגדרת HDS.

4 בפברואר 2020 דרישות שרת Proxy מעודכנות.

16 בדצמבר 2019 הבהיר את הדרישה למצב Blocked External DNS Resolution Mode לפעול בדרישות שרת Proxy.

19 בנובמבר 2019

נוסף מידע אודות מצב רזולוציית DNS חיצוני חסום בסעיפים הבאים:

תמיכה ב-Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy
כבה מצב רזולוציה של DNS חיצוני חסום

8 בנובמבר 2019

כעת באפשרותך לקבוע את תצורת הגדרות הרשת עבור צומת בעת פריסת ה-OVA במקום לאחר מכן.

הסעיפים הבאים עודכנו בהתאם:

זרימת משימה של אבטחת נתונים היברידיים
התקן את HDS Host OVA
הגדר את VM של אבטחת הנתונים ההיברידיים

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

6 בספטמבר 2019

נוסף תקן SQL Server Standard לדרישות שרת מסד נתונים.

20 באוגוסט 2019

מקטעים נוספו ומעודכנים כדי לכסות את התמיכה ב-Proxy עבור תקשורת צומת אבטחת נתונים היברידיים לענן Webex.

תמיכה ב-Proxy
דרישות שרת Proxy
הגדרת תצורת צומת HDS עבור שילוב Proxy

6 במרץ 2019

העברת דרישות ותנאים מוקדמים לפרק נפרד, הכן את הסביבה שלך.
הוספת סקירת זרימת משימת פריסת אבטחת נתונים היברידיים בפרק הגדרת אשכול אבטחת נתונים היברידיים.

ציין כי עד שתתחיל גרסת ניסיון (באמצעות ההוראות בפרק הבא) הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.
הוספת גרסת הניסיון לזרימת משימת ייצור בפרק הפעל גרסת ניסיון והעבר לייצור.

28 בפברואר 2019

תקן את כמות שטח הדיסק הקשיח המקומי לכל שרת שעליך להניח בצד בעת הכנת המארחים הווירטואליים שהופכים לצמתי אבטחת הנתונים ההיברידיים, מ-50-GB ל-20-GB, כדי לשקף את גודל הדיסק ש-OVA יוצר.

26 בפברואר 2019

צמתי אבטחת נתונים היברידיים תומכים כעת בחיבורים מוצפנים עם שרתי מסד נתונים PostgreSQL וחיבורי רישום מוצפנים לשרת syslog בעל יכולת TLS. עודכן צור ISO תצורה עבור מארחי HDS עם הוראות.
כתובות URL של יעד הוסרו מטבלת "דרישות קישוריות אינטרנט עבור VMs של צומת אבטחת נתונים היברידיים". הטבלה מתייחסת כעת לרשימה הנשמרת בטבלת "כתובות URL נוספות עבור השירותים ההיברידיים של Webex Teams" של דרישות רשת עבור שירותי Webex Teams.

24 בינואר 2019

5 בנובמבר 2018

הוסיף שלב ראשוני לניקוי מופעי Docker hds קיימים ב-Create a Configuration ISO עבור מארחי ה-HDS ושנה את תצורת הצומת.
שלב רמת הגישה העיקרי עודכן ב-יצירת ISO תצורה עבור מארחי HDS שיתאימו לממשק.

19 באוקטובר 2018

פצל פרטי חיבור חומת אש לדרישות צומת ודרישות מכונת תצורת ISO בהשלמת הדרישות המקדימות לאבטחת נתונים היברידיים.

31 ביולי 2018

נוספה יציאה 22 (גישת SSH) ומידע על חיבורי NAT וחומת אש כדי להשלים את הדרישות המקדימות עבור אבטחת נתונים היברידית.

21 במאי 2018

טרמינולוגיה ששונתה כדי לשקף את המיתוג מחדש של Cisco Spark:

אבטחת הנתונים ההיברידיים של Cisco Spark היא כעת אבטחת נתונים היברידיים.
יישום Cisco Spark הוא כעת יישום Webex.
ענן Cisco Collaboraton הוא כעת ענן Webex.

11 באפריל 2018

נוסף מרכז נתונים המתנה להתאוששות מאסון.
עודכן השלם את הדרישות המקדימות לאבטחת נתונים היברידיים כדי לציין שסביבת הגיבוי צריכה להיות במרכז נתונים אחר.
עדכון התאוששות מאסון באמצעות מרכז נתונים במצב המתנה.

22 בפברואר 2018

הוספת מידע אודות סיסמת חשבון שירות בן 9 חודשים ושימוש בכלי הגדרת HDS כדי לאפס את סיסמאות חשבון השירות, ב-Create a Configuration ISO עבור מארחי HDS and Change the Node Configuration.

15 בפברואר 2018

בטבלה דרישות התעודה X.509 , צוין שהתעודה לא יכולה להיות תעודה כללית, ושה-KMS משתמש בדומיין CN, לא בדומיין המוגדר בשדות X.509V3 SAN.

18 בינואר 2018

נספח נוסף, תעבורה בין צמתי ה-HDS לענן.
הסרת בעיה שנפתרה מבעיות ידועות עבור אבטחת נתונים היברידיים.
index.docker.io השתנה ל-*.docker.io והוסיף ‎*.cloudfront.net לרשימת דרישות קישוריות TCP עבור צמתי ה-HDS ב-השלם את התנאים המוקדמים לאבטחת נתונים היברידיים.
עדכון צור תצורה ISO עבור מארחי HDS כדי לציין שאם מארח מסד הנתונים ושרת Syslogd אינם ניתנים לפתירות DNS מצמתי HDS, עליך להגדיר אותם באמצעות כתובות IP.

2 בנובמבר 2017

סנכרון ספר טלפונים מובהר של HdsTrialGroup.
הוראות קבועות להעלאת קובץ התצורה של ISO עבור הרכבה לצמתי VM.

18 באוגוסט 2017

פורסם לראשונה

התחל בעבודה עם אבטחת נתונים היברידיים

סקירה כללית של אבטחת נתונים היברידיים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעל על ידי לקוחות יישום Webex אינטראקציה עם שירות ניהול המפתחות (KMS). ה-KMS אחראי על יצירה וניהול של מפתחות ההצפנה שמשתמשים בהם כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS של הענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד חוץ ממך לא מחזיק את המפתחות בתוכן המוצפן שלך.

אדריכלות תחום אבטחה

ארכיטקטורת ענן Webex מפרידה סוגים שונים של שירות לממלכות נפרדות, או דומיינים של אמון, כפי שמתואר להלן.

הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפין את ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח AES-256.
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים לתוכן.
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
ההודעה המוצפנת מאוחסנת בתחום האחסון.

שיתוף פעולה עם ארגונים אחרים

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית של לקוחות ומודעות לסיכונים שמגיעים עם מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

מרכז נתונים מאובטח במדינה שהוא מיקום נתמך עבור התוכניות של Cisco Webex Teams.
הציוד, התוכנה והגישה לרשת המתוארים ב-הכנת הסביבה שלך.

נהל את הגיבוי והשחזור של מסד הנתונים ואת התצורה ISO.
להיות מוכן לבצע התאוששות מהירה אסון אם אסון מתרחש, כגון כשל דיסק מסד נתונים או אסון מרכז נתונים.

אין מנגנון להעברת מפתחות לענן לאחר פריסת HDS.

תהליך הגדרה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידית:

הגדר אבטחת נתונים היברידיים - זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בדיקת הפריסה שלך עם קבוצת משנה של משתמשים במצב גרסת ניסיון, ולאחר השלמת הבדיקות שלך, מעבר לייצור. זה ממיר את הארגון כולו לשימוש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההתקנה, הניסיון ותהליכי הייצור מכוסים בפירוט בשלושת הפרקים הבאים.
שמור על פריסת אבטחת הנתונים ההיברידיים שלך—ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה אחת ברמה גבוהה יותר עבור הפריסה הזו, ולהפעיל את התמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל ב-Control Hub.
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות מוכרות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה ונספח 'בעיות מוכרות' עשוי לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

מודל פריסת אבטחת נתונים היברידיים

אנו תומכים רק באשכול אחד לכל ארגון.

מצב גרסת ניסיון של אבטחת נתונים היברידיים

מרכז נתונים במצב המתנה להתאוששות מאסון

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים תמיד להיות באותו מרכז נתונים של שרת מסד הנתונים הפעיל.

הגדרת מרכז נתונים המתנה להתאוששות מאסון

בצע את השלבים הבאים כדי להגדיר את קובץ ה-ISO של מרכז הנתונים במצב המתנה:

לפני שתתחיל

מרכז הנתונים במצב המתנה צריך לשקף את סביבת הייצור של VMs ואת מסד הנתונים PostgreSQL או Microsoft SQL Server. לדוגמה, אם לייצור יש 3 צמתי HDS הפועלים, לסביבת הגיבוי צריכה להיות 3 VMs. (ראה Standby Data Center for Disaster Recovery for a overview of this failover model.)
ודא שסנכרון מסד נתונים מופעל בין מסד הנתונים של צמתי אשכולות פעילים ופסיביים.

התחל את כלי הגדרת HDS ופעל בהתאם לשלבים המוזכרים ב-יצירת תצורה ISO עבור מארחי HDS.

קובץ ה-ISO חייב להיות עותק של קובץ ה-ISO המקורי של מרכז הנתונים הראשוני שעליו יש לבצע את עדכוני התצורה הבאים.

לאחר קביעת התצורה של שרת Syslogd, לחץ על הגדרות מתקדמות


passiveMode: 'true'

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא אותו.

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות..

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ Datastore ISO.

ודא מחובר וכן התחבר בכוח מופעל מסומנים כך ששינויי תצורה מעודכנים ייכנסו לתוקף לאחר הפעלת הצמתים.

מתח על צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

חזור על התהליך עבור כל צומת במרכז הנתונים בהמתנה.

בדוק את syslogs כדי לוודא שהצמתים במצב פסיבי. אתה אמור להיות מסוגל להציג את ההודעה "KMS מוגדר במצב פסיבי" ב-syslogs.

מה הלאה?

תמיכה ב-Proxy

אבטחת נתונים היברידית תומכת בבדיקה מפורשת, שקופה וביישומים שאינם בודקים. באפשרותך לקשור את שרתי ה-proxy האלה לפריסה שלך כך שתוכל לאבטח ולפקח על תעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק מנהל פלטפורמה בצמתים לניהול תעודות ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה-Proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות ה-Proxy הבאות:

ללא Proxy—ברירת המחדל אם אינך משתמש בהגדרת צומת HDS בהגדרת Trust Store ו-Proxy כדי לשלב proxy. לא נדרש עדכון תעודה.
Proxy שקוף שאינו בודק – הצמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה.
מנהור שקוף או בדיקת proxy—הצמתים אינם מוגדרים להשתמש בכתובת שרת proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יבטחו בפרוקסי. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS).
Proxy מפורש—עם proxy מפורש, אתה אומר לצמתי HDS אילו שרת proxy וסכמת אימות להשתמש. כדי להגדיר proxy מפורש, עליך להזין את המידע הבא בכל צומת:
1. Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy.
2. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת.
3. פרוטוקול Proxy—בהתאם למה ששרת ה-Proxy שלך תומך, בחר בין הפרוטוקולים הבאים:
  - HTTP - תצוגות ושליטה על כל הבקשות שהלקוח שולח.
  - HTTPS-מספק ערוץ לשרת. הלקוח מקבל ומאמת את תעודת השרת.
4. סוג אימות—בחר מבין סוגי האימות הבאים:
  - ללא-לא נדרש אימות נוסף.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
  - בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64.
    
    זמין אם תבחר ב-HTTP או HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
  - Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת.
    
    זמין רק אם תבחר ב-HTTPS כפרוטוקול proxy.
    
    דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתי אבטחת נתונים היברידיים ו-Proxy

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

הכן את הסביבה שלך

דרישות לאבטחת נתונים היברידיים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים:

עליך להיות Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

דרישות תעודה X.509

שרשרת התעודות חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים
דרישה	פרטים
נחתם על-ידי רשות אישורים מהימנה (CA)	כברירת מחדל, אנו בוטחים בכתובות ה-CA של רשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.
נושא שם תחום משותף (CN) המזהה את פריסת אבטחת הנתונים ההיברידיים שלך & צור תעודה	ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם המשקף את הארגון שלך, לדוגמה, `hds.company.com`. ה-CN לא יכול להכיל * (תווים כלליים). ה-CN משמש לאימות צמתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, לא כל דומיין המוגדר בשדות ה-SAN x.509v3. לאחר שרשמת צומת באישור זה, אנחנו לא תומכים בשינוי שם הדומיין של CN. בחר דומיין שיכול לחול הן על פריסות גרסת הניסיון והן על פריסות הייצור.
חתימה לא SHA1	תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.
מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה השתמש בשם הידידותי של `kms-private-key` כדי לתייג את התעודה, מפתח פרטי וכל תעודת ביניים להעלאה.	באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. יהיה עליך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך כוללים את הדרישות הבאות:

לפחות שני מארחים נפרדים (3 מומלצים) מקוטבים באותו מרכז נתונים מאובטח
VMware ESXi 6.5 (או מאוחר יותר) מותקן ופועל.

עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
מינימום 4 מעבדים vCPU, זיכרון ראשי של 8 GB, שטח דיסק קשיח מקומי של 30 GB לכל שרת

דרישות שרת מסד נתונים

קיימות שתי אפשרויות עבור שרת מסד נתונים. הדרישות לכל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

PostgreSQL 14, 15, או 16, מותקן ופועל.

SQL Server 2016, 2017, או 2019 (ארגון או תקן) מותקן.

SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

תוכנת HDS מתקינה כעת את גרסאות הנהג הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

נהג JDBC Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו-Always On Availability Groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

כל צמתי ה-HDS, התשתית של ACTIVE DIRECTORY ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
לחשבון Windows שאתה מספק לצמתי HDS חייב להיות גישת קריאה/כתיבה למסד הנתונים.
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפתור את מרכז ההפצה של המפתח (KDC) שלך.
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת ה-SQL של Microsoft בתור שם ראשי שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי שירות עבור חיבורי Kerberos.

כלי הגדרת HDS, משגר HDS ו-KMS מקומיים צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של Keystore. הם משתמשים בפרטים מתצורת ISO כדי לבנות את SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום	פרוטוקול	יציאה	כיוון מהיישום	יעד
צמתי אבטחת נתונים היברידיים	TCP	443	HTTPS יוצא ו-WSS	שרתי Webex: wbx2.com ‫ מלונות CISCOSPARK, ברצלונה *‬ כל מארחי הזהות המשותפת כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בכתובות ה-URL הנוספות עבור השירותים ההיברידיים של Webex* של דרישות רשת עבור שירותי Webex
כלי הגדרת HDS	TCP	443	HTTPS יוצא	**wbx2.com כל מארחי הזהות המשותפת סטטוס שרת - Docker

כתובות ה-URL של מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור	כתובות URL של מארח זהות משותפת
אמריקה	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
האיחוד האירופי	https://idbroker-eu.webex.com https://identity-eu.webex.com
קנדה	https://idbroker-ca.webex.com https://identity-ca.webex.com

דרישות שרת Proxy

אנו תומכים באופן רשמי בפתרונות ה-Proxy הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

Proxy שקוף—מכשיר אבטחת אינטרנט של Cisco (WSA).

פרוקסי מפורש - סקוויד.

אנו תומכים בשילובים של סוגי האימות הבאים עבור שרתי proxy מפורשים:
- אין אימות עם HTTP או HTTPS
- אימות בסיסי עם HTTP או HTTPS
- תקציר אימות עם HTTPS בלבד
עבור פרוקסי בדיקה שקוף או פרוקסי מפורש של HTTPS, עליך לקבל עותק של אישור הבסיס של הפרוקסי. הוראות הפריסה במדריך זה אומרות לך כיצד להעלות את העותק לחנויות האמון של צמתי אבטחת הנתונים ההיברידיים.
יש להגדיר את הרשת המארחת את צמתי ה-HDS כדי לאלץ תעבורת TCP יוצא ביציאה 443 לנתב דרך ה-proxy.
פרוקסי שבוחן את תעבורת האינטרנט עלול להפריע לחיבורי שקע האינטרנט. אם בעיה זו מתרחשת, עקיפת תעבורה (לא בדיקה) אל wbx2.com ו- ciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות לאבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי להבטיח שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידיים שלך.

צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אין להשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר מותקנים, יוצרים את סכימת מסד הנתונים.)
אסוף את הפרטים שצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:
- שם המארח או כתובת IP (מארח) והיציאה
- שם מסד הנתונים (dbname) עבור אחסון מפתחות
- שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של האחסון המפתח

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ואת יציאת syslog (ברירת המחדל היא UDP 514).

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב להיות בעל הקישוריות המתוארת בדרישות קישוריות חיצוניות.

אם אתה משלב פרוקסי עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת ה-Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימה של אבטחת נתונים היברידיים

לפני שתתחיל

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת הנתונים ההיברידיים.

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

היכנס למסוף ה-VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בעת פריסת OVA.

הגדר את ה-VM מקובץ התצורה ISO שיצרת עם כלי הגדרת HDS.

רשום את ה-VM בענן Cisco Webex כצומת אבטחת נתונים היברידיים.

השלם את הגדרת האשכול.

הפעל משפט ועבר לייצור (הפרק הבא)

עד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

הורד קובצי התקנה

היכנס אל https://admin.webex.com, ולאחר מכן לחץ על שירותים.

בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולאחר מכן לחץ על הגדר.

בחר לא כדי לציין שעדיין לא הגדרת את הצומת, ולחץ על הבא.

קובץ ה-OVA מתחיל להורדה אוטומטית. שמור את הקובץ במיקום במחשב שלך.

לחלופין, לחצו על Open Deployment Guide כדי לבדוק אם יש גרסה מתקדמת יותר של מדריך זה זמין.

צור ISO תצורה עבור מארחי HDS

לפני שתתחיל

כלי הגדרת HDS פועל כמיכל דוקר במכונה מקומית. כדי לגשת אליו, הפעל דוקר על המכונה. תהליך ההגדרה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות של הארגון שלך.

אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, פרטי כניסה) באמצעות משתני סביבה של דוקר בעת העלאת מיכל דוקר בשלב 5. הטבלה הזו מספקת כמה משתנים סביבתיים אפשריים:

תיאור	משתנה
Proxy HTTP ללא אימות	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy של HTTPS ללא אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy עם אימות	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy עם אימות	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

קובץ התצורה של ISO שאתה יוצר מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל עת שתבצע שינויי תצורה, כגון אלה:
- אישורי מסד נתונים
- עדכוני תעודה
- שינויים במדיניות ההרשאה
אם אתה מתכנן להצפין חיבורי מסד נתונים, הגדר את פריסת שרת PostgreSQL או SQL עבור TLS.

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי הגדרת HDS. אם אין תמונות קודמות, היא מחזירה שגיאה שניתן להתעלם ממנה.

כדי להיכנס לרישום התמונות של דוקר, הזן את הפרטים הבאים:

docker login -u hdscustomersro

בבקשת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

הורד את התמונה היציבה האחרונה עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

כאשר המתיחה תושלם, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

בסביבות רגילות עם מתווך HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות קבועות עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

בסביבות FedRAMP ללא proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם פרוקסי HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

בסביבות FedRAMP עם מתווך HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כשהמיכל פועל, אתה רואה "שרת אקספרס מאזין ליציאה 8080".

כלי ההגדרה אינו תומך בהתחברות אל localhost באמצעות http://localhost:8080. השתמש ב-http://127.0.0.1:8080 כדי להתחבר אל localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל מערכת של לקוח עבור Control Hub בהנחיה.

בדף הסקירה של כלי ההגדרה, לחץ על תחילת העבודה.

בדף הייבוא של ISO , יש לך את האפשרויות הבאות:

לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
כן – אם כבר יצרת צמתי HDS, תבחר את קובץ ה-ISO שלך בעיון ותעלה אותו.

בדוק שתעודת ה-X.509 עומדת בדרישות בתעודת X.509.

אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
אם התעודה שלך בסדר, לחץ על המשך.
אם התוקף של התעודה שלך פג או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת תעודות HDS ובמפתח פרטי מה-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.

הזן את כתובת מסד הנתונים והחשבון כדי ש-HDS יוכל לגשת לנתונים העיקריים שלך:

בחר את סוג מסד הנתונים שלך (PostgreSQL או Microsoft SQL Server).

אם תבחר ב-Microsoft SQL Server, תקבל שדה מסוג אימות.
(Microsoft SQL Server בלבד) בחר את סוג האימות שלך:
- אימות בסיסי: יש צורך בשם חשבון מקומי של SQL Server בשדה שם המשתמש.
- אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש.
הזן את כתובת שרת מסד הנתונים בטופס <hostname>:<port> או <IP-address>:<port>.

דוגמה:
dbhost.example.org:1433 או 198.51.100.17:1433

באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433
הזן את שם מסד נתונים...
הקישו את שם המשתמש והסיסמה של משתמש עם כל ההרשאות המצוינות במסד הנתונים של האחסון המרכזי.

בחר מצב חיבור למסד הנתונים של TLS:

מצב

תיאור

מעדיף TLS(אפשרות ברירת מחדל)

צמתי HDS אינם דורשים מ-TLS להתחבר לשרת מסד הנתונים. אם תפעיל את TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת חותמת אישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת אישור ושם מארח

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.
לאחר יצירת חיבור TLS, הצומת משווה את חותמת האישור משרת מסד הנתונים לרשות האישור בתעודת הבסיס של מסד הנתונים. אם הם לא תואמים, הצומת מפיל את החיבור.
הצמתים מאמתים גם ששם המארח באישור השרת תואם לשם המארח בשדה המארח של מסד הנתונים והיציאה. השמות חייבים להתאים במדויק, או שהצומת מפיל את החיבור.

השתמש בפקד אישור השורש של מסד הנתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בדף יומני המערכת, קבע את תצורת שרת Syslogd:

הזן את ה-URL של שרת syslog.

אם השרת אינו ניתן לפתרון מחדש של DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

דוגמה:
udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק האם שרת syslog מוגדר להצפנת SSL?.

אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת TCP כגון tcp://10.92.43.23:514.
מהרשימה הנפתחת של בחירת סיום רישום של syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או שורה חדשה משמשת עבור Graylog ו-Rsyslog TCP
- בית Null -- \x00
- שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.
לחץ על המשך.

app_datasource_connection_pool_maxSize: 10

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל לאתר.

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

אף פעם אין לנו עותק של המפתח הזה ולא יכול לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.

השתמש בלקוח vSphere VMware במחשב שלך כדי להתחבר למארח הווירטואלי ESXi.

בחר קובץ > פרוס תבנית OVF.

באשף, ציין את המיקום של קובץ ה-OVA שהורדת קודם לכן, ולאחר מכן לחץ על הבא.

ב-בחר משאב חישוב דף, בחר את משאב חישוב היעד ולאחר מכן לחץ על הבא.

בדיקת אימות פועלת. לאחר שהוא מסיים, הפרטים של התבנית מופיעים.

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

אם תתבקש לבחור את תצורת המשאב ב-תצורה דף, לחצו על 4 מעבד ולאחר מכן לחצו על הבא.

ב-בחר אחסון דף, לחצו על הבא כדי לקבל את תבנית הדיסק המהווה ברירת מחדל ואת מדיניות האחסון של ה-VM.

ב-בחר רשתות דף, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

בדף התאמה אישית של תבנית , קבע את התצורה של הגדרות הרשת הבאות:

שם מארח-הזן את FQDN (שם מארח ודומיין) או שם מארח של מילה אחת עבור הצומת.

אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
כדי להבטיח רישום מוצלח בענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. שווי לא נתמך כרגע.
האורך הכולל של ה-FQDN לא יכול לעלות על 64 תווים.

כתובת IP-הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
מסכה—הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
שער—הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
שרתי DNS—הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיין לכתובות IP מספריות. (עד 4 כניסות DNS מותרות.)
שרתי NTP—הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה המופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.

פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

לחץ לחיצה ימנית על ה-VM של הצומת, ולאחר מכן בחר כוח > כוח מופעל.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורחת ב-VM Host. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

עצות לפתרון בעיות

הגדר את VM של אבטחת הנתונים ההיברידיים

1	בלקוח VMware vSphere, בחר את ה-VM של אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ומופיע שורת כניסה. אם שורת הכניסה אינה מוצגת, הקש Enter.
2	השתמש בהתחברות ובסיסמה הבאות כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: שם משתמש: `admin` סיסמה: `cisco` מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.
3	אם כבר הגדרת את הגדרות הרשת ב-התקן את OVA מארח HDS, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את אפשרות עריכת תצורה.
4	הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריך להיות כתובת IP ושם DNS פנימי. DHCP אינו נתמך.
5	(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך כדי להתאים למדיניות הרשת שלך. אין צורך להגדיר את הדומיין כך שיתאים לדומיין שבו השתמשת כדי להשיג את אישור X.509.
6	שמור את תצורת הרשת ואתחל מחדש את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והעבר את תצורת ה-ISO של HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ISO שיצרת עם כלי הגדרת HDS.

לפני שתתחיל

העלה את קובץ ה-ISO מהמחשב:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.
ברשימה החומרה של הלשונית 'תצורה', לחץ על אחסון.
ברשימה של Datastores, לחצו לחיצת עכבר ימנית על datastore עבור מכשירי ה-VM שלכם ולחצו על עיון בנתונים.
לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.
דפדף למיקום שבו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתוח.
לחץ על כן כדי לקבל את אזהרת פעולת ההעלאה/ההורדה, וסגור את תיבת הדו-שיח לנתונים.

חיבור קובץ ה-ISO:

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ לחיצה ימנית על VM ולחץ על ערוך הגדרות.
לחץ על אישור כדי לקבל את האזהרה של אפשרויות העריכה המוגבלות.
לחץ על CD/DVD Drive 1, בחר באפשרות לעגן מקובץ ISO נתונים, ובדפדף למיקום שבו העלית את קובץ התצורה ISO.
בדוק את Connected והתחבר בהספק מופעל.
שמור את השינויים שלך ואתחל מחדש את המחשב הווירטואלי.

מה הלאה?

הגדרת תצורת צומת HDS עבור שילוב Proxy

לפני שתתחיל

עיין ב-Proxy Support לקבלת סקירה של אפשרויות ה-Proxy הנתמכות.
דרישות שרת Proxy

1	הזן את כתובת ה-URL של הגדרת צומת HDS `https://[HDS Node IP or FQDN]/setup` בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת, ולאחר מכן לחץ על היכנס.
2	עבור אל Trust Store ו-Proxy, ולאחר מכן בחר אפשרות: אין Proxy—אפשרות ברירת המחדל לפני שתשלב Proxy. לא נדרש עדכון תעודה. Proxy שקוף שאינו בודק – צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לבצע שינויים כלשהם כדי לעבוד עם Proxy שאינו בודק. לא נדרש עדכון תעודה. Proxy בדיקה שקופה—צמתים אינם מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידיים, עם זאת, צמתי ה-HDS צריכים תעודת בסיס כדי שהם יבטחו ב-proxy. בדיקת proxy משמשת בדרך כלל על-ידי ה-IT כדי לאכוף מדיניות לגבי אילו אתרים ניתן לבקר ובאילו סוגי תוכן אינם מורשים. סוג זה של proxy מפענח את כל התעבורה (אפילו HTTPS). Proxy מפורש—עם proxy מפורש, אתה אומר ללקוח (צמתי HDS) באיזה שרת Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא: Proxy IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע אל מכונת ה-proxy. יציאת Proxy—מספר יציאה שה-Proxy משתמש להאזנה לתעבורה משויכת. פרוטוקול Proxy—בחר http (תצוגות ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות בהתבסס על מה תומך שרת ה-Proxy שלך. סוג אימות—בחר מבין סוגי האימות הבאים: ללא-לא נדרש אימות נוסף. זמין עבור שרתי HTTP או HTTPS. בסיסי – משמש לנציג משתמש של HTTP כדי לספק שם משתמש וסיסמה בעת ביצוע בקשה. משתמש בקידוד Base64. זמין עבור שרתי HTTP או HTTPS. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. Digest—משמש לאישור החשבון לפני שליחת מידע רגיש. החל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחה דרך הרשת. זמין עבור שרתי HTTPS בלבד. אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה. בצע את השלבים הבאים עבור Proxy בדיקה שקוף, Proxy מפורש HTTP עם אימות בסיסי, או PROXY מפורש HTTPS.
3	לחץ על העלה תעודת בסיס או על אישור ישות קצה, ולאחר מכן נווט כדי לבחור את אישור הבסיס עבור ה-proxy. האישור הועלה אך עדיין לא מותקן מכיוון שעליך לאתחל מחדש את הצומת כדי להתקין את האישור. לחץ על החץ chevron על-ידי שם מנפיק התעודות כדי לקבל פרטים נוספים או לחץ על מחק אם עשית טעות וברצונך להעלות את הקובץ מחדש.
4	לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת לבין ה-Proxy. אם בדיקת החיבור נכשלת, תוצג הודעת שגיאה המציגה את הסיבה וכיצד ניתן לתקן את הבעיה. אם אתה רואה הודעה האומרת שהרזולוציה של DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה-DNS. מצב זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך עם ההגדרה, והצומת יפעל במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים האלה, ולאחר מכן ראה כבה מצב רזולוציית DNS חיצונית חסומה.
5	לאחר העברת בדיקת החיבור, עבור proxy מפורש שהוגדר ל-https בלבד, הפעל את הלחצן הדו-מצבי לנתב את כל בקשות ה-https 443/444 https מהצומת הזה דרך ה-proxy המפורש. הכניסה לתוקף של הגדרה זו דורשת 15 שניות.
6	לחץ על התקן את כל האישורים ל-Trust Store (מופיע עבור proxy מפורש של HTTPS או PROXY בדיקה שקוף) או אתחול (מופיע עבור proxy מפורש HTTP), קרא את ההנחיה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת יאותחל תוך מספר דקות.
7	לאחר אתחול הצומת, היכנס שוב במידת הצורך, ולאחר מכן פתח את דף 'סקירה' כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור ה-Proxy בודקת רק דומיין משנה של webex.com. אם ישנן בעיות קישוריות, בעיה נפוצה היא שחלק מהדומיינים של הענן המפורטים בהוראות ההתקנה נחסמים ב-proxy.

רשום את הצומת הראשון באשכול

בעת רישום הצומת הראשון, צור אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרס כדי לספק יתירות.

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	היכנס אל https://admin.webex.com.
2	בתפריט בצד שמאל של המסך, בחרו באפשרות שירותים.
3	בקטע 'שירותים היברידיים', מצא אבטחת נתונים היברידיים ולחץ על 'הגדר'. הדף 'רישום של צומת אבטחת נתונים היברידיים' מופיע.
4	בחר כן כדי לציין שהגדרת את הצומת ושאתה מוכן לרשום אותו, ולאחר מכן לחץ על הבא.
5	בשדה הראשון, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על מיקום הצמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"
6	בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. כתובת IP זו או FQDN צריכה להתאים לכתובת ה-IP או שם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ל-Webex.
7	לחץ על עבור אל צומת.
8	לחץ על המשך בהודעת האזהרה. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון Webex שלך לגישה לצומת שלך.
9	בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
10	לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. בדף אבטחת הנתונים ההיברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום עוד צמתים

לפני שתתחיל

לאחר שתתחיל רישום של צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
ודא שכל חוסמי קופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1	צור מכונה וירטואלית חדשה מה-OVA, החוזרת על השלבים ב-התקן את HDS Host OVA.
2	הגדר את התצורה ההתחלתית ב-VM החדש, תוך חזרה על השלבים ב-הגדרת ה-VM של אבטחת הנתונים ההיברידיים.
3	ב-VM החדש, חזור על השלבים ב-Upload והרכבה את תצורת HDS ISO.
4	אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקביעת התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.
5	רשום את הצומת. ב-https://admin.webex.com, בחרו שירותים מהתפריט בצד שמאל של המסך. בקטע 'שירותים היברידיים', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על משאבים. הדף 'משאבי אבטחת נתונים היברידיים' מופיע. לחץ על הוסף משאב. בשדה הראשון, בחר את שם האשכול הקיים שלך. בשדה השני, הזן את כתובת ה-IP הפנימית או שם תחום מוסמך מלא (FQDN) של הצומת ולחץ על הבא. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לחץ על עבור אל צומת. לאחר מספר רגעים, אתה מועבר מחדש לבדיקות קישוריות צומת עבור שירותי Webex. אם כל הבדיקות מצליחות, הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים' יופיע. שם, אתה מאשר שברצונך להעניק הרשאות לארגון שלך לגישה לצומת שלך. בדוק את תיבת הסימון אפשר גישה אל צומת אבטחת הנתונים ההיברידיים שלך , ולאחר מכן לחץ על המשך. החשבון שלך מאומת והודעת "הרישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של Control Hub. הצומת שלך רשום. שים לב שעד שתתחיל גרסת ניסיון, הצמתים שלך יוצרים אזעקה המצביעה על כך שהשירות שלך עדיין לא מופעל.

מה הלאה?

הפעל משפט ועבר לייצור (הפרק הבא)

הפעל גרסת ניסיון ועבר לייצור

גרסת ניסיון לזרימת משימת ייצור

לפני שתתחיל