במאמר זה
dropdown icon
מידע חדש ומשונה
    מידע חדש ומשונה
dropdown icon
התחל עם אבטחת נתונים היברידית מרובת דיירים
    dropdown icon
    סקירה כללית של אבטחת נתונים היברידית מרובת דיירים
      כיצד אבטחת נתונים היברידית מרובת דיירים מספקת ריבונות נתונים ובקרת נתונים
      מגבלות של אבטחת נתונים היברידית מרובת דיירים
      תפקידים באבטחת נתונים היברידית מרובת דיירים
    dropdown icon
    ארכיטקטורת תחום האבטחה
      ממלכות של הפרדה (ללא אבטחת נתונים היברידית)
    שיתוף פעולה עם ארגונים אחרים
    ציפיות לפריסת אבטחת נתונים היברידית
    תהליך הגדרה ברמה גבוהה
    dropdown icon
    מודל פריסת אבטחת נתונים היברידי
      מודל פריסת אבטחת נתונים היברידי
    dropdown icon
    מרכז נתונים המתנה להתאוששות מאסון
      מעבר ידני למרכז נתונים במצב המתנה
    תמיכה בפרוקסי
dropdown icon
הכנת הסביבה
    dropdown icon
    דרישות לאבטחת נתונים היברידית מרובת דיירים
      דרישות רישיון של Cisco Webex
      דרישות שולחן העבודה של Docker
      דרישות תעודת X.509
      דרישות למארח וירטואלי
      דרישות שרת מסד הנתונים
      דרישות קישוריות חיצוניות
      דרישות שרת פרוקסי
    השלם את הדרישות המוקדמות לאבטחת נתונים היברידית
dropdown icon
הגדרת אשכול אבטחת נתונים היברידי
    זרימת משימות של פריסת אבטחת נתונים היברידית
    בצע הגדרה ראשונית והורד קבצי התקנה
    צור קובץ ISO של תצורה עבור מארחי HDS
    התקנת ה-HDS Host OVA
    הגדר את מכונת ה-VM של אבטחת נתונים היברידית
    העלה והתקן קובץ ISO של תצורת HDS
    קביעת התצורה של צומת HDS עבור שילוב Proxy
    רשום את הצומת הראשון באשכול
    צור ורשום צמתים נוספים
dropdown icon
ניהול ארגוני דיירים באבטחת נתונים היברידית מרובת דיירים
    הפעלת HDS רב-דיירים במרכז השותפים
    הוספת ארגוני דיירים במרכז השותפים
    צור מפתחות ראשיים של לקוח (CMK) באמצעות כלי הגדרת HDS
    הסר ארגוני דיירים
    ביטול CMK של דיירים שהוסרו מ-HDS.
dropdown icon
בדוק את פריסת אבטחת הנתונים ההיברידית שלך
    בדוק את פריסת אבטחת הנתונים ההיברידית שלך
    ניטור תקינות אבטחת נתונים היברידית
dropdown icon
ניהול פריסת ה-HDS שלך
    ניהול פריסת HDS
    הגדרת לוח זמנים לשדרוג אשכולות
    שנה את תצורת הצומת
    ביטול מצב רזולוציית DNS חיצוני חסום
    הסרת צומת
    התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
    (אופציונלי) ניתוק ISO לאחר הגדרת HDS
dropdown icon
פתרון בעיות אבטחת נתונים היברידית
    צפה בהתראות ופתור בעיות
    dropdown icon
    התראות
      בעיות נפוצות והצעדים לפתרונן
    פתרון בעיות אבטחת נתונים היברידית
dropdown icon
הערות נוספות
    בעיות ידועות באבטחת נתונים היברידית
    הפעל את כלי הגדרת HDS באמצעות Podman Desktop
    dropdown icon
    העברת פריסת HDS קיימת של דייר יחיד של ארגון שותף ב-Control Hub להגדרת HDS מרובת דיירים ב-Partner Hub
      ביטול הפעלת HDS, ביטול רישום של צמתים ומחיקת אשכול במרכז הבקרה
      הפעלת HDS רב-דיירים עבור ארגון השותפים במרכז השותפים והוספת לקוחות
    השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
    תעבורה בין צמתי HDS לענן
    dropdown icon
    הגדרת פרוקסי Squid עבור אבטחת נתונים היברידית
      Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
dropdown icon
בטל אבטחת נתונים היברידית מרובת דיירים
    זרימת משימות ביטול הפעלה של HDS מרובה דיירים

מדריך פריסה לאבטחת נתונים היברידית מרובת דיירים (HDS) (בטא)

list-menuבמאמר זה
list-menuמשוב?

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

13 בדצמבר 2024

מהדורה ראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 6.5 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

15 בינואר 2025

נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים.

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים

  • לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
  • לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
  • לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.

    הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.

    הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.

  • אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
  • נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
  • לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017 או 2019 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל Partner Hub ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

30 בינואר 2025

נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים.

15 בינואר 2025

נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים.

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים

  • לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
  • לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
  • לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.

    הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.

    הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.

  • אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
  • נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
  • לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017, 2019 או 2022 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל Partner Hub ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

30 בינואר 2025

נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים.

15 בינואר 2025

נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים.

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים

  • לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
  • לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
  • לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.

    הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.

    הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.

  • אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
  • נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
  • לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, המפתח הפרטי וכל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017, 2019 או 2022 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי wbx2.com ciscospark.com תפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל Partner Hub ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה Username .

  3. הזן את כתובת שרת מסד הנתונים בתבנית : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp ://10.92.43.23:514 מציין כניסה למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxגודל: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: מנהל מערכת

  2. סיסמה: סיסקו

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על כונן CD/DVD 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ התצורה ISO.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה- URL של הגדרת צומת HDS https://[HDS Node IP או FQDN]/הגדרה בדפדפן אינטרנט, הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

התחברות לדוקר -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

דוקר משיכת ciscocitg/hds-setup:יציב

בסביבות FedRAMP:

דוקר משיכת ciscocitg/hds-setup-fedramp:יציב
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן את kms.data.method=create ואת kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) מידע KMS [POOL-14-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ ילד: ק"מ://hds2.org5.portun.us/statickeys/3[~]0 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=יצירה, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ארעי_מפתח_אוסף, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן את kms.data.method=retrieve ואת kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) מידע KMS [POOL-14-THREAD-31] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=אחזור, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=מפתח, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן את kms.data.method=create ואת kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) מידע KMS [POOL-14-THREAD-33] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=צור, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/מפתחות, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב חדש של KMS (KRO) בעת יצירת מרחב או משאב מוגן אחר, סנן את kms.data.method=create ואת kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) מידע KMS [POOL-15-THREAD-1] - [KMS: בקשה] התקבל, מזהה מכשיר: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ ילד: kms://hds2.org5.portun.us/ecdhe/5[~]1 (הצפנהKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=צור, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_איסוף משאבים, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה

    פרוקסי HTTPS ללא אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה

    HTTP Proxy עם אימות

    נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    התחברות לדוקר -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    דוקר משיכת ciscocitg/hds-setup:יציב

    בסביבות FedRAMP:

    דוקר משיכת ciscocitg/hds-setup-fedramp:יציב

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על כונן CD/DVD 1, בחר באפשרות לטעון מקובץ ISO וגלוש למיקום שבו הורדת את קובץ התצורה החדש של ISO.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -טקסט -noout -ב hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----התחל תעודה----- ### אישור שרת. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA ביניים. ### -----אישור סיום----------- אישור התחלת------ ### אישור CA של בסיס. ### -----סיום תעודה-----

4

צור את קובץ ה-‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -ב hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: מפתח פרטי.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12 הזן סיסמה לייבוא: תכונות MAC מאומתות OK Bag friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 תכונות מפתח:  הזן ביטוי סיסמה PEM: מאמת - הזן ביטוי סיסמה של PEM: -----התחל מפתח פרטי מוצפן------  -----סיים מפתח פרטי מוצפן------ תכונות תיק friendlyName: מפתח פרטי מקומיKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3 -----התחל תעודה------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=בואו להצפין רשות X3,O=בואו להצפין,C=US SUBJECT=/C=US/O=בואו להצפין/CN=בואו להצפין רשות X3=בואו להצפין מנפיק רשות X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE------  -----end certificate----------------------------------------------------------------------------------------------------------

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: תנועה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol מנהרה כולם

דיונון 3.5.27

בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

מידע חדש ושינויים

מידע חדש ושינויים

הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.

תאריך

השינויים שבוצעו

04 במרץ 2025

30 בינואר 2025

נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים.

15 בינואר 2025

נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים.

08 בינואר 2025

הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה.

07 בינואר 2025

עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0.

13 בדצמבר 2024

פורסם לראשונה.

השבת אבטחת נתונים היברידיים של ריבוי דיירים

זרימת משימת השבתת HDS של ריבוי דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.

לפני שתתחיל

מנהל מערכת מלא של שותף צריך לבצע משימה זו בלבד.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר.

2

שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק, ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה.
  • בדף 'משאבים', לחץ על ... בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS.

תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים

סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים

מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.

בעוד שלארגוני שותפים יש שליטה בפריסה ובניהול, אין להם גישה לנתונים ולתוכן שנוצרו על-ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.

כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים

  • התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
  • תומך בתוכן פגישות, העברת הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.

מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים

  • לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
  • לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
  • לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.

    הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.

    הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.

  • אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
  • נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
  • לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.

תפקידים באבטחת נתונים היברידיים של ריבוי דיירים

  • מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
  • מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
  • ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.

ארכיטקטורת תחום אבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

תחומי הפרדה (ללא אבטחת נתונים היברידיים)

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.

בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

ציפיות לפריסת אבטחת נתונים היברידיים

פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:

אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:

  • נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.

  • התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.

אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:

  • הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.

    שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.

  • להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידיים

במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.

במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מודל פריסת אבטחת נתונים היברידיים

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.

צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.

מרכז נתונים להתאוששות מאסון

במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

לפני יתירות כשל, ל-Data Center A יש צמתי HDS פעילים ומסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד ל-B יש עותק של קובץ ISO עם תצורות נוספות, VMs הרשומים לארגון ומסד נתונים בהמתנה. לאחר יתירות כשל, ל-Data Center B יש צמתי HDS פעילים ומסד הנתונים הראשי, בעוד ל-A יש VMs לא רשומים ועותק של קובץ ה-ISO, ומסד הנתונים במצב המתנה.
יתירות כשל ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.

צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.

  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים

דרישות רישיון Cisco Webex

כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:

  • ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.

  • ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן עבודה של Docker

לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".

לקוחות ללא רישיון Docker Desktop יכולים להשתמש בכלי ניהול מכולות בקוד פתוח כמו Podman Desktop כדי להפעיל, לנהל וליצור מכולות. לפרטים, ראה הפעל כלי הגדרת HDS באמצעות Podman Desktop .

דרישות תעודה X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

הערה: דרישות אישור X.509 עבור פריסת אבטחת נתונים היברידיים

דרישה

פרטים

  • נחתם על-ידי Certificate Authority ‏(CA)

כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם דומיין של שם נפוץ (CN) שמזהה את פריסת אבטחת הנתונים ההיברידיים שלך

  • אינה תעודת Wildcard

ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, hds.company.com.

ה-CN לא יכול להכיל * (wildcard).

ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN.

לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS #12 מוגן באמצעות סיסמה

  • השתמש בשם הידידותי של kms-private-key כדי לתייג את התעודה, את המפתח הפרטי ואת כל אישורי הביניים להעלאה.

באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך.

תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS.

תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות מארח וירטואלי

למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:

  • לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 (ואילך) הותקן ופועל.

    עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.

  • מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת

דרישות שרת מסד נתונים

צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.

קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

PostgreSQL

שרת Microsoft SQL

  • PostgreSQL 14, 15 או 16, מותקן ופועל.

  • SQL Server 2016, 2017, 2019 או 2022 (Enterprise או Standard) מותקן.

    SQL Server 2016 דורש Service Pack 2 ועדכון מצטבר 2 ואילך.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ ‎2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון)

תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:

PostgreSQL

שרת Microsoft SQL

מנהל התקן JDBC פוסטים 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On‏ (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד).

דרישות נוספות עבור אימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:

  • כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.

  • לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.

    כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.

דרישות קישוריות חיצונית

קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

כיוון מהיישום

יעד

צומתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצא

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי הזהות המשותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידיים בטבלה כתובות URL נוספות עבור שירותים היברידיים של Webex של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי הזהות המשותפת

  • hub.docker.com

צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP‏ 443 ו-22, למטרות ניהוליות.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות נפוצות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת התנועה (לא בדיקת) אל wbx2.com וciscospark.com יפתור את הבעיה.

השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים

השתמש ברשימת ביקורת זו כדי לוודא שאתה מוכן להתקין ולקבוע את התצורה של אשכול אבטחת הנתונים ההיברידיים שלך.
1

ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה.

לארגוני לקוח לא צריכה להיות פריסת HDS קיימת.

2

בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה תעודת X.509, מפתח פרטי וכל אישורי ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב-דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי.

4

הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים עבור אחסון מפתחות. (עליך ליצור מסד נתונים זה – אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, בעת ההתקנה, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים שהצמתים ישתמשו בהם כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והיציאה

    • שם מסד הנתונים (dbname) עבור אחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs.

6

הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה.

לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית.

9

התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker .

כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית.

10

אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy.

הגדר אשכול אבטחת נתונים היברידיים

זרימת משימת פריסת אבטחת נתונים היברידיים

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קובצי התקנה

הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר.

2

צור ISO תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים.

3

התקן את HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדרת ה-VM של אבטחת נתונים היברידיים

היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA.

5

העלה והתקן את ISO של תצורת HDS

קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS של ריבוי דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דייר במרכז השותפים.

בצע הגדרה ראשונית והורד קובצי התקנה

במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.

1

היכנס אל Partner Hub ולאחר מכן לחץ על שירותים.

2

במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר.

לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולחץ על הורד קובץ ‎.OVA בכרטיס התקנה וקביעת תצורה של תוכנה .

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA.

תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידיים.

קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
4

לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה.

צור ISO תצורה עבור מארחי HDS

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , קיימות האפשרויות הבאות:

  • לא – אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן – אם כבר יצרת צומתי HDS, בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.
10

ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.

  • אם מעולם לא העלית תעודה לפני כן, העלה את תעודת X.509, הזן את הסיסמה ולחץ על המשך.
  • אם התעודה שלך תקינה, לחץ על המשך.
  • אם פג התוקף של התעודה שלך או שברצונך להחליף אותה, בחר לא עבור המשך להשתמש בשרשרת האישורים של HDS ובמפתח פרטי מ-ISO הקודם?. העלה תעודת X.509 חדשה, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך:

  1. בחר את סוג מסד הנתונים (PostgreSQL או Microsoft SQL Server).

    אם תבחר Microsoft SQL Server, תקבל שדה 'סוג אימות'.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך:

    • אימות בסיסי: אתה זקוק לשם חשבון SQL Server מקומי בשדה שם משתמש .

    • אימות Windows: אתה זקוק לחשבון Windows בתבנית username@DOMAIN בשדה שם משתמש .

  3. הזן את כתובת שרת מסד הנתונים בצורה : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    באפשרותך להשתמש בכתובת IP לאימות בסיסי, אם הצמתים לא יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם דומיין מלא בתבנית dbhost.example.org:1433

  4. הזן את שם מסד הנתונים.

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור למסד נתונים של TLS:

מצב

תיאור

מעדיף TLS (אפשרות ברירת מחדל)

צומתי HDS אינם דורשים מ-TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו חיבור מוצפן.

דרוש TLS

צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואמת את חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

דרוש TLS ואמת חותמת תעודה ושם מארח

  • צומתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם של האישור משרת מסד הנתונים לרשות האישורים באישור בסיס מסד הנתונים. אם הוא לא תואם, הצומת ינתק את החיבור.

  • הצמתים מאמתים גם ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח מסד הנתונים והיציאה . השמות חייבים להתאים במדויק, או שהצומת ינתק את החיבור.

השתמש בפקד תעודת בסיס של מסד נתונים מתחת לרשימה הנפתחת כדי להעלות את תעודת הבסיס עבור אפשרות זו.

בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, קבע את התצורה של שרת Syslogd:

  1. הזן את ה-URL של שרת syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול HDS, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם תגדיר את השרת שלך לשימוש בהצפנת TLS, בדוק את האם שרת syslog שלך מוגדר להצפנת SSL?.

    אם תסמן את תיבת הסימון הזו, הקפד להזין כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהרשימה הנפתחת בחר סיום רישום syslog , בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחר או קו חדש משמש עבור Graylog ו-Rsyslog TCP

    • בתים Null -- \x00

    • קו חדש -- \n – בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות:

app_datasource_connection_pool_maxSize: 10
15

לחץ על המשך במסך איפוס סיסמה של חשבונות שירות .

לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.

אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.

התקן את HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi.

2

בחר קובץ > פרוס תבנית OVF.

3

באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא.

5

בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא.

מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על CPU 4 ולאחר מכן לחץ על הבא.

8

בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל.

9

בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM.

10

בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:

  • שם מארח – הזן את ה-FQDN (שם מארח ודומיין) או שם מארח של מילה יחידה עבור הצומת.
    • אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים נמוכים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של ה-FQDN לא יכול לחרוג מ-64 תווים.

  • כתובת IP – הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

  • מסכה – הזן את כתובת מסיכת רשת המשנה בסימון נקודה עשרוני. לדוגמה, 255.255.255.0.
  • שער – הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS – הזן רשימה מופרדת באמצעות פסיקים של שרתי DNS, המטפלת בתרגום שמות דומיינים לכתובות IP מספריות. (מותר להשתמש בעד 4 ערכי DNS.)
  • שרתי NTP – הזן את שרת NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. באפשרותך גם להשתמש ברשימה מופרדת באמצעות פסיקים כדי להזין שרתי NTP מרובים.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהוליות.

אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת.

האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר חשמל > הפעלה.

תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס.

הגדרת ה-VM של אבטחת נתונים היברידיים

השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.

1

בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף .

ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
2

השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים:

  1. התחברות: admin

  2. סיסמה: cisco

מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת.

3

אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה .

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509.

6

שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף.

העלה והתקן את ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המחשב הווירטואלי מקובץ ה-ISO שיצרת באמצעות כלי הגדרת HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב:

  1. בחלונית הניווט השמאלית של לקוח vSphere של VMware, לחץ על שרת ESXi.

  2. ברשימת החומרה של לשונית התצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחץ לחיצה ימנית על מאגר הנתונים עבור ה-VM שלך ולחץ על עיון במאגר הנתונים.

  4. לחץ על הסמל 'העלה קבצים' ולאחר מכן לחץ על העלה קובץ.

  5. עבור למיקום שבו הורדת את קובץ ה-ISO במחשב ולחץ על פתח.

  6. לחץ על כן כדי לקבל את אזהרת פעולת העלאה/הורדה וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקן את קובץ ה- ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את אזהרת אפשרויות העריכה המוגבלות.

  3. לחץ על CD/DVD Drive 1, בחר את האפשרות להתקנה מקובץ ISO של מאגר נתונים ועיין למיקום שבו העלית את קובץ ה-ISO של התצורה.

  4. סמן את מחובר ואת התחבר במצב מופעל.

  5. שמור את השינויים ואתחל את המחשב הווירטואלי.

מה הלאה?

אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה-URL של הגדרת צומת HDS https://[HDS Node IP or FQDN]/setup בדפדפן אינטרנט, הזן את אישורי מנהל המערכת שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • אין Proxy – אפשרות ברירת המחדל לפני שאתה משלב Proxy. אין צורך בעדכון אישורים.
  • Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
  • Proxy בדיקה שקוף – צמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • Explicit Proxy – עם proxy מפורש, תגיד ללקוח (צומתי HDS) באיזה שרת ה-Proxy להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.

    2. יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.

    3. פרוטוקול Proxy – בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות – בחר מבין סוגי האימות הבאים:

      • ללא – לא נדרש אימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת בהגדר את ה-VM של אבטחת הנתונים ההיברידיים, רושם את הצומת עם ענן Webex והופכת אותו לצומת אבטחת נתונים היברידיים.

כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר.

4

בדף שנפתח, לחץ על הוסף משאב.

5

בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך.

מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים.

מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול, פשוט צור ערכי VM נוספים והתקן את אותו קובץ ISO של תצורה, ולאחר מכן רשום את הצומת. מומלץ שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS.

2

הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים.

3

ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS.

4

אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב-https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הצג הכל.

    הדף 'משאבי אבטחת נתונים היברידיים' מופיע.
  3. האשכול החדש שנוצר יופיע בדף משאבים .

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף.

    דף נפתח עם הודעה המציינת שניתן לרשום את הצומת שלך בענן Webex. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון שלך הרשאות לגשת לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך.

    החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים.

    הודעה מוקפצת נוספה מופיעה גם בחלק התחתון של המסך במרכז השותפים.

    הצומת שלך רשום.

נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים

הפעל HDS של ריבוי דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס מצב HDS .

הוסף ארגוני דייר במרכז השותפים

במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך שיוקצה לקוח.

5

עבור ללשונית לקוחות מוקצים .

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך.

10

לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט בצור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • צור CMK עבור כל הארגונים או צור CMK – לחץ על הלחצן הזה בבאנר בחלק העליון של המסך כדי ליצור CMK עבור כל הארגונים החדשים שנוספו.
  • לחץ על הלחצן נהל CMKs בצד ימין של המסך ולחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים החדשים שנוספו.
  • לחץ… ליד מצב ניהול CMK בהמתנה של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל.

13

אם יצירת CMK לא הצליחה, תוצג שגיאה.

הסר ארגוני דייר

לפני שתתחיל

לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל.

4

בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחץ על לקוחות מוקצים.

6

מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.

בטל CMKs של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, http://127.0.0.1:8080 ולהזין שם משתמש של מנהל מערכת עבור מרכז השותפים בהנחיה.

הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית.

7

כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים.

8

בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה.

9

בדף ייבוא ISO , לחץ על כן.

10

בחר את קובץ ה-ISO בדפדפן והעלה אותו.

11

עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.

  • בטל CMK עבור כל הארגונים או בטל CMK - לחץ על לחצן זה בבאנר בחלק העליון של המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על הלחצן נהל קובצי CMK בצד ימין של המסך ולחץ על בטל קובצי CMKs כדי לבטל קובצי CMK של כל הארגונים שהוסרו.
  • לחץ על ליד מצב CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל את CMK עבור אותו ארגון ספציפי.
12

לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא הצליח, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

בדוק את פריסת אבטחת הנתונים ההיברידיים שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידיים של ריבוי דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.

  • ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.

1

מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב.

אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך.

  1. כדי לבדוק אם משתמש יוצר תחילה ערוץ מאובטח ל-KMS, סנן לפי kms.data.method=create וכן kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבאים (מזהי קיצור לצורך קריאה):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. כדי לבדוק אם משתמש מבקש מפתח קיים מ-KMS, סנן לפי kms.data.method=retrieve וכן kms.data.type=KEY:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. כדי לבדוק אם משתמש מבקש ליצור מפתח KMS חדש, סנן לפי kms.data.method=create וכן kms.data.type=KEY_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. כדי לבדוק אם משתמש מבקש ליצור אובייקט משאב מסוג KMS (KRO) חדש בעת יצירת מרחב או משאב מוגן אחר, סנן לפי kms.data.method=create וכן kms.data.type=RESOURCE_COLLECTION:

    אתה צריך למצוא ערך כגון:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ניטור תקינות אבטחת נתונים היברידיים

מחוון מצב במרכז השותפים מראה לך אם הכל בסדר עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים. להתראות יזומות יותר, הירשם לקבלת התראות בדוא"ל. תקבל הודעה כאשר יהיו התראות שמשפיעות על השירות או על שדרוגי תוכנה.
1

במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות.

הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
3

בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter.

נהל את פריסת HDS שלך

נהל פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.

הגדר לוח זמנים לשדרוג אשכול

שדרוגי תוכנה עבור אבטחת נתונים היברידיים נעשים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים מפעילים תמיד את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים לשדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך את האפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוזמן. ניתן להגדיר לוח זמנים לשדרוג ספציפי או להשתמש בלוח הזמנים המוגדרים כברירת מחדל של 3:00 AM Daily ארצות הברית: אמריקה/לוס אנג'לס. תוכל גם לבחור לדחות שדרוג קרוב, במידת הצורך.

כדי להגדיר את לוח הזמנים לשדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר

4

בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול.

5

לחץ על הלשונית הגדרות אשכול .

6

בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג.

הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.

    אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS עבור שלבים 1.a עד 1.e בהליך שלהלן. לפרטים, ראה הפעל כלי הגדרת HDS באמצעות Podman Desktop .

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:stable

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    docker login -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    docker pull ciscocitg/hds-setup:stable

    בסביבות FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כשתתבקש, הזן את פרטי הכניסה של לקוח מרכז השותפים שלך ולחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההגדרה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על CD/DVD Drive 1, בחר את האפשרות להתקנה מקובץ ISO, ועיין למיקום שבו הורדת את קובץ ה-ISO של התצורה החדשה.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסר צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידיים מענן Webex. לאחר שתסיר את הצומת מהאשכול, מחק את המחשב הווירטואלי כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי.

2

הסר את הצומת:

  1. היכנס אל Partner Hub ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידיים, לחץ על הצג הכל כדי להציג את הדף 'משאבי אבטחת נתונים היברידיים'.

  3. בחר את האשכול שלך כדי להציג את הלוח 'סקירה כללית' שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום של צומת זה בלוח שמופיע מימין

  6. באפשרותך גם לבטל את הרישום של הצומת על-ידי לחיצה... בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.)

אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות Standby Data Center

השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:

אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שמתואר בהסרת צומת. השתמש בקובץ ה-ISO האחרון שהוגדר מול הצמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך יתירות הכשל המוזכר להלן.
1

הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים.

ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה.

מה הלאה?

לאחר יתירות כשל, אם מרכז הנתונים הראשי הופך לפעיל שוב, בטל את הרישום של הצמתים של מרכז הנתונים במצב המתנה וחזור על תהליך קביעת התצורה של ISO ורישום צמתים של מרכז הנתונים הראשי כאמור לעיל.

(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS

תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.

אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.

לפני שתתחיל

שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.

1

כבה אחד מצומתי HDS שלך.

2

במכשיר שרת vCenter, בחר את צומת HDS.

3

בחר ערוך הגדרות > כונן CD/DVD ובטל את הסימון של קובץ ISO של מאגר הנתונים.

4

הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות.

5

חזור עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידיים

הצג התראות ופתרון בעיות

פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:

  • לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)

  • פענוח הודעות וכותרות מרחב נכשל עבור:

    • משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)

    • משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.

התראות

אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.

הערה: בעיות נפוצות והצעדים לפתרון אותן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית.

כשל בחיבור למסד הנתונים המקומי.

בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת.

כשל בגישה לשירות הענן.

בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית.

חידוש הרישום של שירות הענן.

הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע.

רישום שירות הענן בוטל.

הרישום לשירותי הענן הופסק. השירות נסגר.

השירות עדיין לא הופעל.

הפעל HDS במרכז השותפים.

הדומיין שהוגדר לא תואם לאישור השרת.

ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית.

האימות לשירותי הענן נכשל.

בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות.

פתיחת קובץ חנות מקשים מקומית נכשלה.

בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds directory לא קיים.

בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו

השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS.

הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו

השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS.

פתרון בעיות אבטחת נתונים היברידיים

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות עם אבטחת נתונים היברידיים.
1

סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון.

2

סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

פנה אל התמיכה של Cisco.

הערות אחרות

בעיות מוכרות עבור אבטחת נתונים היברידיים

  • אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).

הפעל כלי הגדרת HDS באמצעות Podman Desktop

פודמן הוא כלי ניהול מכולות חינמי בקוד פתוח המספק דרך להפעיל, לנהל וליצור מכולות. ניתן להוריד את שולחן העבודה של Podman מ-https://podman-desktop.io/downloads.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הורד והפעל את Podman במחשב הזה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:

    • אישורי מסד נתונים

    • עדכוני תעודה

    • שינויים במדיניות ההרשאה

  • אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.

תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

podman rmi ciscocitg/hds-setup:stable  

בסביבות FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

podman login docker.io -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

podman pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם Proxy HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

מה הלאה?

בצע את השלבים הנותרים בצור תצורת ISO עבור מארחי HDS או שנה את תצורת הצומת כדי ליצור או לשנות את תצורת ISO.

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ-hdsnode.pem.

2

הצג את התעודה כטקסט ואמת את הפרטים.

openssl x509 -text -noout -in hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את תעודת השרת, כל תעודות CA ביניים ותעודות CA הבסיס, בתבנית שלהלן:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

צור את קובץ ‎.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי תעודת השרת.

  1. openssl pkcs12 -in hdsnode.p12

  2. הזן סיסמה בהנחיה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והאישור הראשון כוללים את הקווים friendlyName: kms-private-key.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

מה הלאה?

חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12 ובסיסמה שהגדרת עבורו ב-צור תצורת ISO עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.

תעבורה בין צמתי HDS לענן

תעבורת איסוף מדדים יוצאים

צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).

תנועה נכנסת

צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:

  • בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss: מתעבורה לתפעול תקין של השירותים.

דיונון 4 ו-5

הוסף את on_unsupported_protocol ההנחיה אל squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

בדקנו בהצלחה את אבטחת נתונים היברידיים כאשר הכללים הבאים נוספו ל-squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

מידע חדש ומשונה

מידע חדש ומשונה

טבלה זו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן קיים וכל שגיאה משמעותית שתוקנה במדריך הפריסה לאבטחת נתונים היברידית מרובת דיירים.

תאריך

שינויים שבוצעו

8 במאי, 2025

4 במרץ, 2025

30 בינואר, 2025

נוספה גרסת 2022 של SQL Server לרשימת שרתי SQL הנתמכים ב- דרישות שרת מסד נתונים.

15 בינואר, 2025

נוספו מגבלות של אבטחת נתונים היברידית מרובת דיירים.

8 בינואר 2025

נוספה הערה ב- בצע הגדרה ראשונית והורד קבצי התקנה המציינת כי לחיצה על הגדרה בכרטיס HDS במרכז השותפים היא שלב חשוב בתהליך ההתקנה.

7 בינואר 2025

עודכנו דרישות למארח וירטואלי, זרימת משימות פריסת אבטחת נתונים היברידית, ו התקנת ה-HDS Host OVA כדי להציג את הדרישה החדשה של ESXi 7.0.

13 בדצמבר, 2024

פורסם לראשונה.

בטל אבטחת נתונים היברידית מרובת דיירים

זרימת משימות ביטול הפעלה של HDS מרובה דיירים

בצע את השלבים הבאים כדי להשבית לחלוטין HDS רב-דיירים.

לפני שתתחיל

משימה זו צריכה להתבצע רק על ידי מנהל מערכת מלא של שותף.
1

הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין ב- הסרת ארגוני דיירים.

2

בטל את רישומי ה-CMK של כל הלקוחות, כפי שצוין ב- בטל רישומי CMK של דיירים שהוסרו מ-HDS..

3

הסר את כל הצמתים מכל האשכולות שלך, כפי שצוין ב- הסרת צומת.

4

מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.

  • לחץ על האשכול שברצונך למחוק ובחר מחק אשכול זה בפינה הימנית העליונה של דף הסקירה הכללית.
  • בדף המשאבים, לחץ על … בצד ימין של אשכול ובחר הסר אשכול.
5

לחץ על הכרטיסייה הגדרות בדף הסקירה הכללית של אבטחת נתונים היברידית ולחץ על בטל HDS בכרטיס סטטוס HDS.

התחל עם אבטחת נתונים היברידית מרובת דיירים

סקירה כללית של אבטחת נתונים היברידית מרובת דיירים

מהיום הראשון, אבטחת נתונים הייתה המוקד העיקרי בעיצוב אפליקציית Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על ידי לקוחות אפליקציית Webex המקיימים אינטראקציה עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.

כברירת מחדל, כל לקוחות אפליקציית Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים במערכת ניהול ה-KMS בענן, בתחום האבטחה של סיסקו. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.

אבטחת נתונים היברידית מרובת דיירים מאפשרת לארגונים למנף את HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה על פריסה וניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמשים של ארגוני הלקוחות מוגנים מפני גישה חיצונית. ארגוני שותפים מקימים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך במספר ארגוני לקוחות בניגוד לפריסת HDS רגילה המוגבלת לארגון יחיד.

בעוד שלארגוני שותפים יש שליטה על הפריסה והניהול, אין להם גישה לנתונים ותוכן שנוצרו על ידי לקוחות. גישה זו מוגבלת לארגוני לקוחות ולמשתמשים שלהם.

זה גם מאפשר לארגונים קטנים יותר למנף את HDS, מכיוון ששירותי ניהול מפתחות ותשתיות אבטחה כמו מרכזי נתונים נמצאים בבעלות שותף מקומי מהימן.

כיצד אבטחת נתונים היברידית מרובת דיירים מספקת ריבונות נתונים ובקרת נתונים

  • תוכן שנוצר על ידי משתמשים מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
  • שותפים מקומיים מהימנים מנהלים את מפתחות ההצפנה של לקוחות שכבר יש להם איתם מערכת יחסים מבוססת.
  • אפשרות לתמיכה טכנית מקומית, אם תסופק על ידי השותף.
  • תומך בתוכן של פגישות, הודעות ושיחות.

מסמך זה נועד לסייע לארגוני שותפים להקים ולנהל לקוחות במסגרת מערכת אבטחת נתונים היברידית מרובת דיירים.

מגבלות של אבטחת נתונים היברידית מרובת דיירים

  • ארגוני שותפים אינם יכולים להפעיל פריסת HDS קיימת במרכז הבקרה.
  • ארגוני דיירים או לקוחות המעוניינים להיות מנוהלים על ידי שותף אינם חייבים להיות בעלי פריסת HDS קיימת ב-Control Hub.
  • לאחר פריסת Multi-Tenant HDS על ידי השותף, כל המשתמשים בארגוני הלקוחות וכן משתמשים בארגון השותף מתחילים למנף Multi-Tenant HDS עבור שירותי ההצפנה שלהם.

    ארגון השותף וארגוני הלקוחות שהם מנהלים יהיו באותה פריסת HDS מרובת דיירים.

    ארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS רב-דיירים.

  • אין מנגנון להעברת מפתחות חזרה ל-Cloud KMS לאחר פריסת HDS.
  • נכון לעכשיו, כל פריסת HDS מרובת דיירים יכולה לכלול רק אשכול אחד, עם מספר צמתים תחתיה.
  • לתפקידי מנהל יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.

תפקידים באבטחת נתונים היברידית מרובת דיירים

  • מנהל שותף מלא - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
  • מנהל שותף - יכול לנהל הגדרות עבור לקוחות שהמנהל הקצה או שהוקצו למשתמש.
  • מנהל מלא - מנהל של ארגון השותף המורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
  • הגדרה וניהול של HDS רב-דיירים מקצה לקצה של כל ארגוני הלקוחות - נדרשות הרשאות מנהל מלאות של השותף והרשאות מנהל מלאות.
  • ניהול ארגוני דיירים שהוקצו - נדרשות הרשאות מנהל שותף ומנהל מלא.

ארכיטקטורת תחום האבטחה

ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירותים לתחומים נפרדים, או תחומי אמון, כפי שמתואר להלן.

ממלכות של הפרדה (ללא אבטחת נתונים היברידית)

כדי להבין טוב יותר את נושא אבטחת המידע ההיברידית, בואו נבחן תחילה את מקרה הענן הטהור הזה, שבו סיסקו מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהות, המקום היחיד שבו משתמשים יכולים להיות מקושרים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז נתונים B. שניהם בתורם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז נתונים C.

בדיאגרמה זו, הלקוח הוא אפליקציית Webex הפועלת במחשב נייד של המשתמש, ואימותו נעשה באמצעות שירות הזהויות. כאשר המשתמש כותב הודעה לשליחה לחלל, מתבצעים השלבים הבאים:

  1. הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, ומערכת ה-KMS מצפינה את המפתח באמצעות מפתח ראשי AES-256.

  2. ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, אשר יוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.

  3. ההודעה המוצפנת נשלחת לשירות התאימות לצורך בדיקות תאימות.

  4. ההודעה המוצפנת מאוחסנת בתחום האחסון.

בעת פריסת אבטחת נתונים היברידית, מעבירים את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלכם. שירותי הענן האחרים המרכיבים את Webex (כולל אחסון זהויות ותוכן) נשארים בתחום אחריותה של סיסקו.

שיתוף פעולה עם ארגונים אחרים

משתמשים בארגון שלך עשויים להשתמש באופן קבוע באפליקציית Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד המשתמשים שלכם מבקש מפתח עבור מרחב שבבעלות הארגון שלכם (מכיוון שהוא נוצר על ידי אחד המשתמשים שלכם), מערכת ה-KMS שלכם שולחת את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר מחזיק בבעלותו את המפתח למרחב, מערכת ה-KMS שלך מנתבת את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח ממערכת ה-KMS המתאימה, ולאחר מכן מחזירה את המפתח למשתמש שלך בערוץ המקורי.

שירות ה-KMS הפועל בארגון A מאמת את החיבורים למערכות KMS בארגונים אחרים באמצעות אישורי x.509 PKI. ראה הכן את הסביבה שלך לקבלת פרטים על יצירת אישור x.509 לשימוש עם פריסת אבטחת נתונים היברידית מרובת דיירים שלך.

ציפיות לפריסת אבטחת נתונים היברידית

פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.

כדי לפרוס אבטחת נתונים היברידית, עליך לספק:

  • מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.

  • הציוד, התוכנה וגישת הרשת המתוארים ב- הכן את הסביבה שלך.

אובדן מוחלט של קובץ ה-ISO של התצורה שבנית עבור אבטחת נתונים היברידית או של מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע ממשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים באפליקציית Webex. אם זה קורה, תוכל לבנות פריסה חדשה, אך רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:

  • ניהול הגיבוי והשחזור של מסד הנתונים וקובץ ה-ISO של התצורה.

  • היו מוכנים לבצע התאוששות מהירה מאסון אם מתרחשת אסון, כגון כשל בדיסק מסד נתונים או אסון במרכז נתונים.

אין מנגנון להעברת מפתחות חזרה לענן לאחר פריסת HDS.

תהליך הגדרה ברמה גבוהה

מסמך זה מכסה את ההתקנה והניהול של פריסת אבטחת נתונים היברידית מרובת דיירים:

  • הגדרת אבטחת נתונים היברידית- זה כולל הכנת התשתית הנדרשת והתקנת תוכנת אבטחת נתונים היברידית, בניית אשכול HDS, הוספת ארגוני דיירים לאשכול וניהול מפתחות הלקוח הראשיים (CMKs) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידי שלך עבור פונקציות אבטחה.

    שלבי ההתקנה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.

  • שמור על פריסת אבטחת הנתונים ההיברידית שלך— ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה הראשונה עבור פריסה זו, ולצרף את תמיכת סיסקו לפי הצורך. ניתן להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל במרכז השותפים.

  • הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות— אם נתקלת בבעיות בפריסה או בשימוש באבטחת נתונים היברידית, הפרק האחרון של מדריך זה והנספח לבעיות ידועות עשויים לעזור לך לקבוע ולתקן את הבעיה.

מודל פריסת אבטחת נתונים היברידי

בתוך מרכז הנתונים הארגוני שלך, אתה פורס אבטחת נתונים היברידית כאשכול יחיד של צמתים על גבי מחשבים מארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex דרך Websockets מאובטחים ו-HTTP מאובטח.

במהלך תהליך ההתקנה, אנו מספקים לכם את קובץ ה-OVA כדי להגדיר את ההתקן הווירטואלי על המכונות הווירטואליות שאתם מספקים. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO מותאם אישית של תצורת אשכול שאתה מרכיב על כל צומת. אשכול אבטחת הנתונים ההיברידי משתמש בשרת Syslogd שסיפקת ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (ניתן להגדיר את פרטי החיבור של Syslogd ומסד הנתונים בכלי ההתקנה של HDS.)

מודל פריסת אבטחת נתונים היברידי

המספר המינימלי של צמתים שיכולים להיות באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. ריבוי צמתים מבטיח שהשירות לא יופרע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)

כל הצמתים באשכול ניגשים לאותו מאגר נתוני מפתח, ורושמים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מצב, ומטפלים בבקשות מפתח בצורה של סבב-רובין, בהתאם להוראות הענן.

צמתים הופכים לפעילים בעת רישום שלהם במרכז השותפים. כדי להוציא צומת בודד משירות, ניתן לבטל את רישומו, ומאוחר יותר לרשום אותו מחדש במידת הצורך.

מרכז נתונים המתנה להתאוששות מאסון

במהלך הפריסה, עליך להגדיר מרכז נתונים מאובטח במצב המתנה. במקרה של אסון במרכז נתונים, ניתן להעביר ידנית את הפריסה למרכז הנתונים הנוכחי.

לפני מעבר לגיבוי, למרכז נתונים A יש צמתי HDS פעילים ואת מסד הנתונים הראשי של PostgreSQL או Microsoft SQL Server, בעוד של-B יש עותק של קובץ ה-ISO עם תצורות נוספות, מכונות וירטואליות הרשומות בארגון ומסד נתונים במצב המתנה. לאחר מעבר לגיבוי, למרכז נתונים B יש צמתי HDS פעילים ואת מסד הנתונים הראשי, בעוד של-A יש מכונות וירטואליות לא רשומות ועותק של קובץ ה-ISO, ומסד הנתונים נמצא במצב המתנה.
מעבר ידני למרכז נתונים במצב המתנה

מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, מה שיקצר את הזמן שלוקח לבצע את המעבר לגיבוי.

צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.

תמיכה בפרוקסי

אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.

צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:

  • ללא פרוקסי- ברירת המחדל אם אינך משתמש בהגדרת צומת HDS Trust Store & תצורת פרוקסי לשילוב פרוקסי. אין צורך בעדכון אישורים.

  • פרוקסי שקוף שאינו בודק— הצמתים אינם מוגדרים להשתמש בכתובת שרת פרוקסי ספציפית ולא אמורים לדרוש שינויים כלשהם כדי לעבוד עם פרוקסי שאינו בודק. אין צורך בעדכון אישורים.

  • מנהור שקוף או בדיקת פרוקסי- הצמתים אינם מוגדרים לשימוש בכתובת שרת פרוקסי ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).

  • פרוקסי מפורש- בעזרת פרוקסי מפורש, אתה אומר לצמתי ה-HDS באיזה שרת פרוקסי וסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:

    1. פרוקסי IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע למכונת הפרוקסי.

    2. יציאת פרוקסי— מספר יציאה שהפרוקסי משתמש בה כדי להאזין לתעבורת פרוקסי.

    3. פרוטוקול פרוקסי— בהתאם לתמיכה של שרת הפרוקסי שלך, בחר בין הפרוטוקולים הבאים:

      • HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.

      • HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.

    4. סוג אימות— בחר מבין סוגי האימות הבאים:

      • אין— אין צורך באימות נוסף.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

      • בסיסי—משמש סוכן משתמש HTTP למתן שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

      • תקציר—משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.

        דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.

דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי

דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.

הכנת הסביבה

דרישות לאבטחת נתונים היברידית מרובת דיירים

דרישות רישיון של Cisco Webex

כדי לפרוס אבטחת נתונים היברידית מרובת דיירים:

  • ארגוני שותפים: צור קשר עם שותף Cisco או מנהל החשבון שלך וודא שתכונת Multi-Tenant מופעלת.

  • ארגוני שוכרים: עליך להיות בעל חבילת Pro עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)

דרישות שולחן העבודה של Docker

לפני התקנת צמתי ה-HDS שלך, תזדקק ל-Docker Desktop כדי להפעיל תוכנית התקנה. Docker עדכנה לאחרונה את מודל הרישוי שלה. ייתכן שהארגון שלך דורש מנוי בתשלום עבור Docker Desktop. לפרטים, עיינו בפוסט בבלוג של Docker, " Docker מעדכנת ומרחיבה את מנויי המוצר שלנו".

לקוחות ללא רישיון Docker Desktop יכולים להשתמש בכלי ניהול מכולות בקוד פתוח כמו Podman Desktop כדי להפעיל, לנהל וליצור מכולות. ראה הפעלת כלי HDS Setup באמצעות Podman Desktop לפרטים.

דרישות תעודת X.509

שרשרת האישורים חייבת לעמוד בדרישות הבאות:

טבלה 1. דרישות אישור X.509 לפריסת אבטחת נתונים היברידית

דרישה

פרטים

  • חתימה על ידי רשות אישורים (CA) מהימנה

כברירת מחדל, אנו סומכים על רשויות האישור ברשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs.

  • נושא שם תחום מסוג Common Name (CN) המזהה את פריסת אבטחת הנתונים ההיברידית שלך

  • אינו תעודת תו כללי

ה-CN לא צריך להיות נגיש או להיות מארח חי. אנו ממליצים להשתמש בשם המשקף את הארגון שלכם, לדוגמה, hds.company.com.

אסור ש-CN יכיל * (תו כללי).

ה-CN משמש לאימות צמתי אבטחת נתונים היברידיים ללקוחות אפליקציית Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותו אישור. מערכת ה-KMS שלך מזהה את עצמה באמצעות תחום CN, ולא באמצעות כל תחום שמוגדר בשדות SAN של x.509v3.

לאחר שרישמת צומת עם תעודה זו, איננו תומכים בשינוי שם הדומיין של CN.

  • חתימה שאינה SHA1

תוכנת ה-KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים.

  • מעוצב כקובץ PKCS המוגן בסיסמה #12 קוֹבֶץ

  • השתמש בשם הידידותי kms-private-key כדי לתייג את האישור, המפתח הפרטי וכל אישור ביניים להעלאה.

ניתן להשתמש בכלי ממיר כמו OpenSSL כדי לשנות את פורמט האישור.

תצטרך להזין את הסיסמה בעת הפעלת כלי הגדרת HDS.

תוכנת ה-KMS אינה אוכפת אילוצי שימוש במפתחות או אילוצי שימוש מורחבים במפתחות. חלק מרשויות האישורים דורשות להחיל אילוצי שימוש מורחבים במפתחות על כל תעודה, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.

דרישות למארח וירטואלי

המארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך עומדים בדרישות הבאות:

  • לפחות שני מארחים נפרדים (מומלץ 3) הממוקמים יחד באותו מרכז נתונים מאובטח

  • VMware ESXi 7.0 או 8.0 מותקנת ופועלת.

    עליך לשדרג אם יש לך גרסה קודמת של ESXi.

  • מינימום 4 מעבדי vCPU, זיכרון ראשי של 8 ג'יגה-בייט, שטח דיסק קשיח מקומי של 30 ג'יגה-בייט לכל שרת

דרישות שרת מסד הנתונים

צור מסד נתונים חדש לאחסון מפתחות. אל תשתמש במסד הנתונים המוגדר כברירת מחדל. יישומי HDS, לאחר התקנתם, יוצרים את סכימת מסד הנתונים.

ישנן שתי אפשרויות עבור שרת מסד נתונים. הדרישות עבור כל אחד מהם הן כדלקמן:

טבלה 2. דרישות שרת מסד נתונים לפי סוג מסד נתונים

פוסטגר-SQL

שרת SQL של מיקרוסופט

  • PostgreSQL 14, 15 או 16, מותקנים ופועלים.

  • מותקנים SQL Server 2016, 2017, 2019 או 2022 (Enterprise או Standard).

    SQL Server 2016 דורש Service Pack 2 ו-Cumulative Update 2 או גרסה מתקדמת יותר.

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16 ג'יגה-בייט, שטח דיסק קשיח מספיק וניטור כדי להבטיח שלא חורגים ממנו (מומלץ 2 טרה-בייט אם ברצונך להפעיל את מסד הנתונים למשך זמן רב מבלי להגדיל את שטח האחסון)

מינימום 8 מעבדי vCPU, זיכרון ראשי של 16 ג'יגה-בייט, שטח דיסק קשיח מספיק וניטור כדי להבטיח שלא חורגים ממנו (מומלץ 2 טרה-בייט אם ברצונך להפעיל את מסד הנתונים למשך זמן רב מבלי להגדיל את שטח האחסון)

תוכנת HDS מתקינה כעת את גרסאות הדרייברים הבאות לצורך תקשורת עם שרת מסד הנתונים:

פוסטגר-SQL

שרת SQL של מיקרוסופט

מנהל התקן JDBC של Postgres 42.2.5

מנהל התקן JDBC של SQL Server 4.6

גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו- Always On availability groups).

דרישות נוספות לאימות Windows מול Microsoft SQL Server

אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של מאגר המפתחות שלך ב-Microsoft SQL Server, עליך לבצע את התצורה הבאה בסביבה שלך:

  • צמתי ה-HDS, תשתית Active Directory ושרת MS SQL חייבים להיות מסונכרנים עם NTP.

  • חשבון Windows שאתה מספק לצמתי HDS חייב להיות read/write גישה למסד הנתונים.

  • שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפענח את מרכז חלוקת המפתחות (KDC) שלך.

  • באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת Microsoft SQL שלך כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם שירות ראשי עבור חיבורי Kerberos.

    כלי ההתקנה של HDS, מפעיל ה-HDS ומערכת ה-KMS המקומית צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של מאגר המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה באמצעות אימות Kerberos.

דרישות קישוריות חיצוניות

הגדר את חומת האש שלך כך שתאפשר את הקישוריות הבאה עבור יישומי HDS:

יישום

פרוטוקול

יציאה

הוראות מהאפליקציה

יעד

צמתי אבטחת נתונים היברידיים

TCP

443

HTTPS ו-WSS יוצאים

  • שרתי Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • כל מארחי זהות משותפת

  • כתובות URL אחרות המפורטות עבור אבטחת נתונים היברידית בטבלה כתובות URL נוספות עבור שירותי Webex היברידיים של דרישות רשת עבור שירותי Webex

כלי הגדרת HDS

TCP

443

HTTPS יוצא

  • *.wbx2.com

  • כל מארחי זהות משותפת

  • hub.docker.com

צמתי אבטחת נתונים היברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת נתונים היברידיים, לא אמורות להיות יציאות גלויות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות זקוקים לגישה לצמתי אבטחת נתונים היברידיים ביציאות TCP 443 ו-22, למטרות ניהול.

כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלו הם מארחי ה-CI הנוכחיים:

אזור

כתובות URL של מארח זהויות משותפות

אמריקה

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

האיחוד האירופי

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

קנדה

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

סינגפור
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

איחוד האמירויות הערביות
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

דרישות שרת פרוקסי

  • אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.

  • אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:

    • אין אימות עם HTTP או HTTPS

    • אימות בסיסי באמצעות HTTP או HTTPS

    • לעכל אימות באמצעות HTTPS בלבד

  • עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.

  • יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.

  • פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (לא בדיקת) התעבורה אל wbx2.com ו- ciscospark.com תפתור את הבעיה.

השלם את הדרישות המוקדמות לאבטחת נתונים היברידית

השתמש בבדיקה זו כדי לוודא שאתה מוכן להתקין ולקבוע את תצורת אשכול אבטחת הנתונים ההיברידי שלך.
1

ודא שארגון השותף שלך מופעלת בתכונת ה-HDS הרב-דיירים וקבל את האישורים של חשבון עם הרשאות מנהל מערכת מלאות של שותף ומנהל מערכת מלא. ודא שארגון הלקוחות של Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. צור קשר עם שותף סיסקו או מנהל תיק הלקוח שלך לקבלת עזרה בתהליך זה.

לארגוני לקוחות אסור שיהיה פריסת HDS קיימת.

2

בחר שם תחום עבור פריסת ה-HDS שלך (לדוגמה, hds.company.com) וקבל שרשרת אישורים המכילה אישור X.509, מפתח פרטי וכל אישור ביניים. שרשרת האישורים חייבת לעמוד בדרישות ב- דרישות אישור X.509.

3

הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. אתם זקוקים לפחות לשני מארחים נפרדים (מומלץ 3) הממוקמים יחד באותו מרכז נתונים מאובטח, אשר עומדים בדרישות ב- דרישות למארח וירטואלי.

4

הכן את שרת מסד הנתונים שישמש כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם יחד במרכז הנתונים המאובטח עם המארחים הווירטואליים.

  1. צור מסד נתונים לאחסון מפתחות. (עליך ליצור מסד נתונים זה - אל תשתמש במסד הנתונים המוגדר כברירת מחדל.) יישומי HDS, לאחר התקנתם, יוצרים את סכימת מסד הנתונים.)

  2. אסוף את הפרטים בהם הצמתים ישתמשו כדי לתקשר עם שרת מסד הנתונים:

    • שם המארח או כתובת ה-IP (מארח) והפורט

    • שם מסד הנתונים (dbname) לאחסון מפתחות

    • שם המשתמש והסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות

5

להתאוששות מהירה מאסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכונות וירטואליות ושרת מסד נתונים לגיבוי. לדוגמה, אם בייצור יש 3 מכונות וירטואליות המריצות צמתים של HDS, סביבת הגיבוי צריכה לכלול 3 מכונות וירטואליות.

6

הגדר מארח syslog לאיסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת ה-syslog שלו (ברירת המחדל היא UDP 514).

7

צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת נתונים היברידית, שרת מסד הנתונים ומחשב ה-syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים.

מכיוון שצמתי אבטחת נתונים היברידית מאחסנים את המפתחות המשמשים להצפנה ופענוח של תוכן, אי שמירה על פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה.

לקוחות אפליקציית Webex מאחסנים את המפתחות שלהם במטמון, כך שייתכן שהפסקה לא תהיה מורגשת באופן מיידי אך תתברר עם הזמן. אמנם בלתי אפשרי למנוע הפסקות זמניות, אך הן ניתנות לשיקום. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח בלתי ניתנים לשחזור. מפעילי צמתי אבטחת הנתונים ההיברידיים צפויים לתחזק גיבויים תכופים של מסד הנתונים וקובץ ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי.

8

ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר ב- דרישות קישוריות חיצוניות.

9

התקן את Docker ( https://www.docker.com) על כל מחשב מקומי שמפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ומעלה) עם דפדפן אינטרנט שיכול לגשת אליו בכתובת ⁦http://127.0.0.1:8080.⁩

אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, אשר בונה את פרטי התצורה המקומיים עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שתצטרך רישיון Docker Desktop. ראה דרישות שולחן העבודה של Docker למידע נוסף.

כדי להתקין ולהפעיל את כלי ההתקנה של HDS, על המכונה המקומית להיות בעלת הקישוריות המתוארת ב- דרישות קישוריות חיצוניות.

10

אם אתם משלבים פרוקסי עם אבטחת נתונים היברידית, ודאו שהוא עומד בדרישות שרת הפרוקסי.

הגדרת אשכול אבטחת נתונים היברידי

זרימת משימות של פריסת אבטחת נתונים היברידית

לפני שתתחיל

1

בצע הגדרה ראשונית והורד קבצי התקנה

הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר.

2

צור קובץ ISO של תצורה עבור מארחי HDS

השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת נתונים היברידיים.

3

התקנת ה-HDS Host OVA

צור מכונה וירטואלית מקובץ ה-OVA ובצע הגדרות ראשוניות, כגון הגדרות רשת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 7.0 ו-8.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

4

הגדר את מכונת ה-VM של אבטחת נתונים היברידית

היכנס לקונסולת ה-VM והגדר את פרטי הכניסה. הגדר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת ה-OVA.

5

העלה והתקן קובץ ISO של תצורת HDS

הגדר את המכונה הווירטואלית מקובץ התצורה ISO שיצרת באמצעות כלי ההתקנה של HDS.

6

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת תצורת פרוקסי, ציין את סוג הפרוקסי שבו תשתמש עבור הצומת, והוסף את אישור הפרוקסי למאגר האמון במידת הצורך.

7

רשום את הצומת הראשון באשכול

רשום את המכונה הווירטואלית בענן Cisco Webex כצומת אבטחת נתונים היברידי.

8

צור ורשום צמתים נוספים

השלם את הגדרת האשכול.

9

הפעל HDS מרובה דיירים במרכז השותפים.

הפעל את HDS ונהל ארגוני דיירים במרכז השותפים.

בצע הגדרה ראשונית והורד קבצי התקנה

במשימה זו, עליך להוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). תוכל להשתמש בקובץ זה בהמשך תהליך ההתקנה.

1

היכנס למרכז השותפים ולאחר מכן לחץ על שירותים.

2

במקטע שירותי ענן, מצא את כרטיס אבטחת נתונים היברידית ולאחר מכן לחץ על הגדר.

לחיצה על הגדרה במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיכו בהתקנה מבלי להשלים שלב זה.

3

לחץ על הוסף משאב ולאחר מכן לחץ על הורד קובץ .OVA בכרטיס התקנה והגדרה של תוכנה.

גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. זה עלול לגרום לבעיות בעת שדרוג האפליקציה. ודא שאתה מוריד את הגרסה העדכנית ביותר של קובץ ה-OVA.

ניתן גם להוריד את ה-OVA בכל עת מהקטע עזרה. לחץ על הגדרות > עזרה > הורד תוכנת אבטחת נתונים היברידית.

הורדת קובץ ה-OVA מתחילה אוטומטית. שמור את הקובץ במיקום מסוים במחשב שלך.
4

לחלופין, לחצו על ראה מדריך פריסת אבטחת נתונים היברידית כדי לבדוק אם קיימת גרסה מאוחרת יותר של מדריך זה.

צור קובץ ISO של תצורה עבור מארחי HDS

תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.

לפני שתתחיל

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל עבור Partner Hub בשורת הפקודה.

הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית.

7

כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

8

בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל.

9

בדף ייבוא ISO, יש לך את האפשרויות הבאות:

  • לא—אם אתה יוצר את צומת ה-HDS הראשון שלך, אין לך קובץ ISO להעלאה.
  • כן—אם כבר יצרת צמתי HDS, עליך לבחור את קובץ ה-ISO שלך בדפדוף ולהעלות אותו.
10

ודא שתעודת ה-X.509 שלך עומדת בדרישות המופיעות ב- דרישות לתעודת X.509.

  • אם מעולם לא העלית אישור בעבר, העלה את אישור ה-X.509, הזן את הסיסמה ולחץ על המשך.
  • אם האישור שלך תקין, לחץ על המשך.
  • אם פג תוקף התעודה שלך או שברצונך להחליפה, בחר לא עבור להמשיך להשתמש בשרשרת תעודות HDS ובמפתח הפרטי מה-ISO הקודם?. העלה אישור X.509 חדש, הזן את הסיסמה ולחץ על המשך.
11

הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת למאגר הנתונים של המפתחות שלך:

  1. בחר את סוג מסד הנתונים שלך(PostgreSQL או Microsoft SQL Server).

    אם תבחר באפשרות Microsoft SQL Server, תקבל שדה סוג אימות.

  2. (Microsoft SQL Server בלבד) בחר את סוג האימות שלך :

    • אימות בסיסי: אתה צריך שם חשבון SQL Server מקומי בשדה שם משתמש.

    • אימות Windows: אתה צריך חשבון Windows בפורמט username@DOMAIN בשדה שם משתמש .

  3. הזן את כתובת שרת מסד הנתונים בצורה : או :.

    דוגמה:
    dbhost.example.org:1433 או 198.51.100.17:1433

    ניתן להשתמש בכתובת IP לאימות בסיסי, אם הצמתים אינם יכולים להשתמש ב-DNS כדי לפתור את שם המארח.

    אם אתה משתמש באימות Windows, עליך להזין שם תחום מלא (Full Qualified Domain Name) בפורמט dbhost.example.org:1433

  4. הזן את שם מסד הנתונים .

  5. הזן את שם המשתמש ואת הסיסמה של משתמש עם כל ההרשאות במסד הנתונים של אחסון המפתחות.

12

בחר מצב חיבור מסד נתונים TLS:

מצב

תיאור

העדפת TLS (אפשרות ברירת מחדל)

צמתי HDS אינם דורשים TLS כדי להתחבר לשרת מסד הנתונים. אם תפעיל TLS בשרת מסד הנתונים, הצמתים ינסו ליצור חיבור מוצפן.

דרוש TLS

צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

דרוש TLS ואימות חותם האישור

מצב זה אינו ישים עבור מסדי נתונים של SQL Server.

  • צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם על האישור משרת מסד הנתונים לרשות האישורים ב- אישור שורש מסד הנתונים. אם הם לא תואמים, הצומת מנתק את החיבור.

השתמש בפקד אישור בסיס מסד נתונים שמתחת לתפריט הנפתח כדי להעלות את אישור הבסיס עבור אפשרות זו.

דרוש TLS ואימות חותם האישור ושם המארח

  • צמתי HDS מתחברים רק אם שרת מסד הנתונים יכול לנהל משא ומתן על TLS.

  • לאחר יצירת חיבור TLS, הצומת משווה את החותם על האישור משרת מסד הנתונים לרשות האישורים ב- אישור שורש מסד הנתונים. אם הם לא תואמים, הצומת מנתק את החיבור.

  • הצמתים גם מאמתים ששם המארח בתעודת השרת תואם לשם המארח בשדה מארח ויציאה של מסד נתונים. השמות חייבים להתאים במדויק, אחרת הצומת מנתק את החיבור.

השתמש בפקד אישור בסיס מסד נתונים שמתחת לתפריט הנפתח כדי להעלות את אישור הבסיס עבור אפשרות זו.

כאשר אתה מעלה את אישור הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ואת שם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בגלל הבדלי קישוריות, ייתכן שצמתי ה-HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא תוכל לבדוק אותו בהצלחה.)

13

בדף יומני המערכת, הגדר את שרת ה-Syslogd שלך:

  1. הזן את כתובת ה-URL של שרת ה-syslog.

    אם השרת אינו ניתן לפתרון DNS מהצמתים עבור אשכול ה-HDS שלך, השתמש בכתובת IP בכתובת ה-URL.

    דוגמה:
    udp://10.92.43.23:514 מציין רישום למארח Syslogd 10.92.43.23 ביציאת UDP 514.
  2. אם הגדרת את השרת שלך להשתמש בהצפנת TLS, בדוק האם שרת ה-syslog שלך מוגדר להצפנת SSL?.

    אם סימנת תיבת סימון זו, ודא שהזנת כתובת URL של TCP כגון tcp://10.92.43.23:514.

  3. מהתפריט הנפתח בחר סיום רשומת syslog, בחר את ההגדרה המתאימה עבור קובץ ה-ISO שלך: בחירת או קו חדש משמשים עבור Graylog ו-Rsyslog TCP

    • בייט ריק -- \x00

    • שורה חדשה -- \n—בחר באפשרות זו עבור Graylog ו-Rsyslog TCP.

  4. לחץ על המשך.

14

(אופציונלי) ניתן לשנות את ערך ברירת המחדל עבור חלק מפרמטרי חיבור מסד הנתונים ב- הגדרות מתקדמות. באופן כללי, פרמטר זה הוא היחיד שעשוי להיות רצוי לשנות:

app_datasource_connection_pool_maxSize: 10
15

לחץ על המשך במסך איפוס סיסמת חשבונות שירות.

סיסמאות לחשבונות שירות הן בעלות תוקף של תשעה חודשים. השתמש במסך זה כאשר הסיסמאות שלך מתקרבות לתפוגה או שברצונך לאפס אותן כדי לבטל קבצי ISO קודמים.

16

לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא אותו.

17

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך.

שמור את עותק הגיבוי בצורה מאובטחת. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת נתונים היברידית שצריכים לבצע שינויי תצורה.

18

כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

מה הלאה?

גבה את קובץ ה-ISO של התצורה. אתה צריך את זה כדי ליצור עוד צמתים לשחזור, או כדי לבצע שינויי תצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.

אין לנו עותק של המפתח הזה ולא נוכל לעזור אם תאבד אותו.

התקנת ה-HDS Host OVA

השתמש בהליך זה כדי ליצור מכונה וירטואלית מקובץ ה-OVA.
1

השתמש בלקוח VMware vSphere במחשב שלך כדי להתחבר למארח הווירטואלי של ESXi.

2

בחר קובץ > פריסת תבנית OVF.

3

באשף, ציין את מיקום קובץ ה-OVA שהורדת קודם לכן ולאחר מכן לחץ על הבא.

4

בדף בחר שם ותיקייה, הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה להימצא ולאחר מכן לחץ על הבא.

5

בדף בחירת משאב מחשוב, בחרו את משאב המחשוב המשמש כיעד ולאחר מכן לחצו על הבא.

בדיקת אימות מופעלת. לאחר סיום הפעולה, יופיעו פרטי התבנית.

6

אמת את פרטי התבנית ולאחר מכן לחץ על הבא.

7

אם תתבקשו לבחור את תצורת המשאבים בדף תצורה, לחצו על 4 CPU ולאחר מכן לחצו על הבא.

8

בדף בחירת אחסון, לחץ על הבא כדי לקבל את פורמט הדיסק ואת מדיניות אחסון המכונה הווירטואלית המוגדרים כברירת מחדל.

9

בדף בחירת רשתות, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה למכונה הווירטואלית.

10

בדף התאמה אישית של תבנית, קבע את הגדרות הרשת הבאות:

  • שם מארח— הזן את ה-FQDN (שם מארח ותחום) או שם מארח בן מילה אחת עבור הצומת.
    • אינך צריך להגדיר את הדומיין כך שיתאים לדומיין בו השתמשת כדי לקבל את אישור ה-X.509.

    • כדי להבטיח רישום מוצלח לענן, השתמש רק בתווים קטנים ב-FQDN או בשם המארח שהגדרת עבור הצומת. היוון אינו נתמך בשלב זה.

    • האורך הכולל של קובץ ה-FQDN לא יעלה על 64 תווים.

  • כתובת IP— הזן את כתובת ה-IP עבור הממשק הפנימי של הצומת.

    לצומת שלך צריכה להיות כתובת IP פנימית ושם DNS. DHCP אינו נתמך.

  • מסכה— הזן את כתובת מסיכת רשת המשנה בסימון נקודה-עשרוני. לדוגמה, 255.255.255.0.
  • שער— הזן את כתובת ה-IP של השער. שער הוא צומת רשת המשמש כנקודת גישה לרשת אחרת.
  • שרתי DNS— הזן רשימה מופרדת בפסיקים של שרתי DNS, המטפלים בתרגום שמות דומיין לכתובות IP מספריות. (מותר עד 4 רשומות DNS.)
  • שרתי NTP— הזן את שרת ה-NTP של הארגון שלך או שרת NTP חיצוני אחר שניתן להשתמש בו בארגון שלך. ייתכן ששרתי ה-NTP המוגדרים כברירת מחדל לא יעבדו עבור כל הארגונים. ניתן גם להשתמש ברשימה מופרדת בפסיקים כדי להזין מספר שרתי NTP.
  • פרוס את כל הצמתים באותה רשת משנה או VLAN, כך שכל הצמתים באשכול יהיו נגישים מלקוחות ברשת שלך למטרות ניהול.

אם מעדיפים, ניתן לדלג על קביעת תצורת הרשת ולבצע את השלבים ב- הגדרת מכונת אבטחת נתונים היברידית כדי לקבוע את תצורת ההגדרות מקונסולת הצומת.

האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 7.0 ו-8.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות.

11

לחץ לחיצה ימנית על הצומת הווירטואלי ולאחר מכן בחר הפעלה > הדלקה.

תוכנת אבטחת הנתונים ההיברידית מותקנת כאורחת במארח הווירטואלי. כעת אתה מוכן להיכנס לקונסולה ולקבוע את התצורה של הצומת.

טיפים לפתרון בעיות

ייתכן שתיתקל בעיכוב של מספר דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה בקונסולה במהלך האתחול הראשון, שבמהלכו לא ניתן להתחבר.

הגדר את מכונת ה-VM של אבטחת נתונים היברידית

השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת נתונים היברידי בפעם הראשונה ולהגדיר את אישורי הכניסה. ניתן גם להשתמש בקונסולה כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת ה-OVA.

1

בלקוח VMware vSphere, בחר את מכונת ה-VM של צומת אבטחת הנתונים ההיברידית שלך ובחר בכרטיסייה מסוף.

המכונה הווירטואלית מאותחלת ומופיעה בקשת התחברות. אם בקשת הכניסה לא מוצגת, לחץ על Enter.
2

השתמשו בשם המשתמש והסיסמה הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה:

  1. כְּנִיסָה לַמַעֲרֶכֶת: admin

  2. סיסמה: cisco

מכיוון שאתה נכנס למכונה הווירטואלית שלך בפעם הראשונה, עליך לשנות את סיסמת מנהל המערכת.

3

אם כבר קבעת את הגדרות הרשת ב- התקנת HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר באפשרות עריכת תצורה.

4

הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכה להיות כתובת IP פנימית ושם DNS. DHCP אינו נתמך.

5

(אופציונלי) שנה את שם המארח, הדומיין או שרתי ה-NTP, במידת הצורך, כדי להתאים למדיניות הרשת שלך.

אינך צריך להגדיר את הדומיין כך שיתאים לדומיין בו השתמשת כדי לקבל את אישור ה-X.509.

6

שמור את תצורת הרשת והפעל מחדש את המכונה הווירטואלית כדי שהשינויים ייכנסו לתוקף.

העלה והתקן קובץ ISO של תצורת HDS

השתמש בהליך זה כדי להגדיר את המכונה הווירטואלית מקובץ ה-ISO שיצרת באמצעות כלי ההתקנה של HDS.

לפני שתתחיל

מכיוון שקובץ ה-ISO מכיל את המפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה של מכונות וירטואליות של אבטחת נתונים היברידית וכל מנהל מערכת שעשוי להזדקק לבצע שינויים. ודא שרק מנהלי המערכת האלה יכולים לגשת למאגר הנתונים.

1

העלה את קובץ ה-ISO מהמחשב שלך:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ על שרת ESXi.

  2. ברשימת חומרה בכרטיסייה תצורה, לחץ על אחסון.

  3. ברשימת מאגרי הנתונים, לחצו לחיצה ימנית על מאגר הנתונים עבור המכונות הווירטואליות שלכם ולחצו על עיון במאגר הנתונים.

  4. לחץ על סמל העלאת קובץ ולאחר מכן לחץ על העלאת קובץ.

  5. דפדף למיקום בו הורדת את קובץ ה-ISO במחשב שלך ולחץ על פתח.

  6. לחץ על כן כדי לקבל את upload/download אזהרת פעולה, וסגור את תיבת הדו-שיח של מאגר הנתונים.

2

התקינו את קובץ ה-ISO:

  1. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  2. לחץ על אישור כדי לקבל את האזהרה לגבי אפשרויות עריכה מוגבלות.

  3. לחץ על CD/DVD Drive 1, בחר את האפשרות לטעינה מקובץ ISO של מאגר נתונים, ועבור אל המיקום שאליו העלית את קובץ ה-ISO של התצורה.

  4. סמן את מחובר ואת חיבור בעת הדלקה.

  5. שמור את השינויים שלך והפעל מחדש את המכונה הווירטואלית.

מה הלאה?

אם מדיניות ה-IT שלך דורשת זאת, תוכל אופציונלית לבטל את טעינת קובץ ה-ISO לאחר שכל הצמתים שלך יאמצו את שינויי התצורה. ראה (אופציונלי) ניתוק ISO לאחר הגדרת HDS לפרטים.

קביעת התצורה של צומת HDS עבור שילוב Proxy

אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.

לפני שתתחיל

1

הזן את כתובת ה-URL של הגדרת צומת HDS https://[HDS Node IP or FQDN]/setup בדפדפן אינטרנט, הזן את אישורי המנהל שהגדרת עבור הצומת ולאחר מכן לחץ על כניסה.

2

עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:

  • ללא פרוקסי— אפשרות ברירת המחדל לפני שילוב פרוקסי. אין צורך בעדכון אישורים.
  • פרוקסי שקוף שאינו בודק- צמתים אינם מוגדרים להשתמש בכתובת שרת פרוקסי ספציפית ולא אמורים לדרוש שינויים כלשהם כדי לעבוד עם פרוקסי שאינו בודק. אין צורך בעדכון אישורים.
  • בדיקת פרוקסי שקופה— צמתים אינם מוגדרים לשימוש בכתובת שרת פרוקסי ספציפית. עם זאת, אין צורך בשינויי תצורה של HTTPS בפריסת אבטחת הנתונים ההיברידית, עם זאת, צמתי ה-HDS זקוקים לאישור בסיס כדי לתת אמון ב-Proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
  • פרוקסי מפורש—באמצעות פרוקסי מפורש, אתה אומר ללקוח (צמתים של HDS) באיזה שרת פרוקסי להשתמש, ואפשרות זו תומכת במספר סוגי אימות. לאחר שתבחר באפשרות זו, עליך להזין את המידע הבא:
    1. פרוקסי IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע למכונת הפרוקסי.

    2. יציאת פרוקסי— מספר יציאה שהפרוקסי משתמש בה כדי להאזין לתעבורת פרוקסי.

    3. פרוקסי פרוטוקול— בחר http (מציג ושולט בכל הבקשות המתקבלות מהלקוח) או https (מספק ערוץ לשרת והלקוח מקבל ומאמת את אישור השרת). בחר אפשרות המבוססת על מה ששרת ה- Proxy שלך תומך בו.

    4. סוג אימות— בחר מבין סוגי האימות הבאים:

      • אין— אין צורך באימות נוסף.

        זמין עבור פרוקסי HTTP או HTTPS.

      • בסיסי—משמש סוכן משתמש HTTP למתן שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.

        זמין עבור פרוקסי HTTP או HTTPS.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

      • תקציר—משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.

        זמין עבור פרוקסי HTTPS בלבד.

        אם תבחר באפשרות זו, עליך להזין גם את שם המשתמש והסיסמה.

בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS.

3

לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy.

האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ.

4

לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy.

אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יפעל במצב פתרון DNS חיצוני חסום. אם אתה חושב שמדובר בשגיאה, השלם את השלבים הבאים ולאחר מכן ראה בטל את מצב רזולוציית DNS חיצוני חסום.

5

לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף.

6

לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן.

הצומת מאתחל מחדש תוך מספר דקות.

7

לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק.

בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy.

רשום את הצומת הראשון באשכול

משימה זו לוקחת את הצומת הכללי שיצרת ב- הגדרת מכונת אבטחת נתונים היברידית, רושמת את הצומת בענן Webex והופכת אותו לצומת אבטחת נתונים היברידית.

כשאתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסים כדי לספק יתירות.

לפני שתתחיל

  • לאחר שתתחילו ברישום של צומת, עליכם להשלים אותו תוך 60 דקות או שתצטרכו להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריג עבור admin.webex.com.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע שירותי ענן, מצא את הכרטיס אבטחת נתונים היברידית ולחץ על הגדר.

4

בדף שנפתח, לחצו על הוספת משאב.

5

בשדה הראשון של הכרטיס הוסף צומת, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידית שלך.

אנו ממליצים לתת שם לאשכול בהתבסס על מיקום צמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

6

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת שלך ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN הזו צריכים להתאים לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת ב- הגדרת מכונת אבטחת נתונים היברידית.

מופיעה הודעה המציינת שבאפשרותך לרשום את הצומת שלך ב-Webex.
7

לחץ על עבור אל צומת.

לאחר מספר רגעים, תועברו לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות יעברו בהצלחה, יופיע הדף אפשר גישה לצומת אבטחת נתונים היברידי. שם, עליך לאשר שברצונך להעניק לארגון Webex שלך הרשאות גישה לצומת שלך.

8

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידי שלך ולאחר מכן לחץ על המשך.

החשבון שלך אומת וההודעה "ההרשמה הושלמה" מציינת שהצומת שלך רשום כעת בענן Webex.
9

לחץ על הקישור או סגור את הכרטיסייה כדי לחזור לדף אבטחת נתונים היברידית של מרכז השותפים.

בדף אבטחת נתונים היברידית, האשכול החדש המכיל את הצומת שרשמת מוצג תחת הכרטיסייה משאבים. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.

צור ורשום צמתים נוספים

כדי להוסיף צמתים נוספים לאשכול שלך, פשוט צור מכונות וירטואליות נוספות וטען את אותו קובץ ISO של תצורה, לאחר מכן רשום את הצומת. אנו ממליצים שיהיו לך לפחות 3 צמתים.

לפני שתתחיל

  • לאחר שתתחילו ברישום של צומת, עליכם להשלים אותו תוך 60 דקות או שתצטרכו להתחיל מחדש.

  • ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריג עבור admin.webex.com.

1

צור מכונה וירטואלית חדשה מה-OVA, וחזר על השלבים ב- התקן את HDS Host OVA.

2

הגדר את התצורה הראשונית במכונה הווירטואלית החדשה, וחזר על השלבים ב- הגדרת מכונת אבטחת נתונים היברידית.

3

במכונה הווירטואלית החדשה, חזור על השלבים ב- העלאה והרכבה של קובץ ISO תצורת HDS.

4

אם אתם מגדירים פרוקסי עבור הפריסה שלכם, חזרו על השלבים ב- הגדרת צומת HDS עבור שילוב פרוקסי לפי הצורך עבור הצומת החדש.

5

רשום את הצומת.

  1. ב https://admin.webex.com, בחר שירותים מהתפריט בצד שמאל של המסך.

  2. במקטע שירותי ענן, מצא את הכרטיס אבטחת נתונים היברידית ולחץ על הצג הכל.

    מופיע הדף משאבי אבטחת נתונים היברידיים.
  3. האשכול החדש שנוצר יופיע בדף משאבים.

  4. לחץ על האשכול כדי להציג את הצמתים שהוקצו לאשכול.

  5. לחץ על הוסף צומת בצד ימין של המסך.

  6. הזן את כתובת ה-IP הפנימית או את שם התחום המלא (FQDN) של הצומת שלך ולחץ על הוסף.

    ייפתח דף עם הודעה המציינת שבאפשרותך לרשום את הצומת שלך לענן Webex. לאחר מספר רגעים, תועברו לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות יעברו בהצלחה, יופיע הדף אפשר גישה לצומת אבטחת נתונים היברידי. שם, עליך לאשר שברצונך להעניק לארגון שלך הרשאות גישה לצומת שלך.
  7. סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידי שלך ולאחר מכן לחץ על המשך.

    החשבון שלך אומת וההודעה "ההרשמה הושלמה" מציינת שהצומת שלך רשום כעת בענן Webex.
  8. לחץ על הקישור או סגור את הכרטיסייה כדי לחזור לדף אבטחת נתונים היברידית של מרכז השותפים.

    ההודעה הקופצתצומת נוסף מופיעה גם בתחתית המסך במרכז השותפים.

    הצומת שלך רשום.

ניהול ארגוני דיירים באבטחת נתונים היברידית מרובת דיירים

הפעלת HDS רב-דיירים במרכז השותפים

משימה זו מבטיחה שכל המשתמשים בארגוני הלקוחות יוכלו להתחיל למנף את HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.

לפני שתתחיל

ודא שהשלמת את הגדרת אשכול ה-HDS הרב-דייר שלך עם מספר הצמתים הנדרש.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על ערוך הגדרות.

4

לחץ על הפעל HDS בכרטיס סטטוס HDS.

הוספת ארגוני דיירים במרכז השותפים

במשימה זו, עליך להקצות ארגוני לקוחות לאשכול אבטחת נתונים היברידי שלך.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הצג הכל.

4

לחץ על האשכול שאליו ברצונך לשייך לקוח.

5

עבור אל הכרטיסייה לקוחות שהוקצו.

6

לחץ על הוסף לקוחות.

7

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

8

לחץ על הוסף, הלקוח יתווסף לאשכול.

9

חזור על שלבים 6 עד 8 כדי להוסיף מספר לקוחות לאשכול שלך.

10

לחץ על סיום בתחתית המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט ב- צור מפתחות ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

צור מפתחות ראשיים של לקוח (CMK) באמצעות כלי הגדרת HDS

לפני שתתחיל

הקצה לקוחות לאשכול המתאים כמפורט ב- הוסף ארגוני דיירים במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות שנוספו לאחרונה.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Partner Hub עם הרשאות מנהל מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:

    • אישורי מסד נתונים

    • עדכוני תעודות

    • שינויים במדיניות ההרשאה

  • אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.

תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל עבור Partner Hub בשורת הפקודה.

הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית.

7

כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

8

בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל.

9

בדף ייבוא ISO, לחץ על כן.

10

בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.

ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK.
11

עבור אל הכרטיסייה ניהול CMK של דיירים, שם תמצא את שלוש הדרכים הבאות לניהול CMK של דיירים.

  • צור CMK עבור כל הארגונים או צור CMK - לחץ על כפתור זה בבאנר בראש המסך כדי ליצור CMK עבור כל הארגונים שנוספו לאחרונה.
  • לחץ על כפתור ניהול CMKs בצד ימין של המסך ולאחר מכן לחץ על צור CMKs כדי ליצור CMKs עבור כל הארגונים שנוספו לאחרונה.
  • לחץ על … ליד הסטטוס 'המתנה' לניהול CMK של ארגון ספציפי בטבלה ולחץ על צור CMK כדי ליצור CMK עבור ארגון זה.
12

לאחר יצירת CMK בהצלחה, הסטטוס בטבלה ישתנה מ- ניהול CMK בהמתנה ל- CMK מנוהל.

13

אם יצירת CMK לא תצליח, תוצג שגיאה.

הסר ארגוני דיירים

לפני שתתחיל

לאחר הסרתם, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, אנא צרו קשר עם שותף Cisco או מנהל תיק הלקוח שלכם.

1

היכנס אל https://admin.webex.com.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הצג הכל.

4

בכרטיסייה משאבים, לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות.

5

בדף שנפתח, לחצו על לקוחות שהוקצו.

6

מרשימת ארגוני הלקוחות המוצגים, לחצו על ... בצד ימין של ארגון הלקוח שברצונכם להסיר ולחצו על הסר מאשכול.

מה הלאה?

השלם את תהליך ההסרה על ידי ביטול CMK של ארגוני הלקוחות כמפורט ב- ביטול CMK של דיירים שהוסרו מ-HDS.

ביטול CMK של דיירים שהוסרו מ-HDS.

לפני שתתחיל

הסר לקוחות מהאשכול המתאים כמפורט ב- הסר ארגוני דיירים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Partner Hub עם הרשאות מנהל מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:

    • אישורי מסד נתונים

    • עדכוני תעודות

    • שינויים במדיניות ההרשאה

  • אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.

תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

docker rmi ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

docker login -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

docker pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

6

כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost.

השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, http://127.0.0.1:8080, והזן שם משתמש של מנהל עבור Partner Hub בשורת הפקודה.

הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית.

7

כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית.

8

בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל.

9

בדף ייבוא ISO, לחץ על כן.

10

בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו.

11

עבור אל הכרטיסייה ניהול CMK של דיירים, שם תמצא את שלוש הדרכים הבאות לניהול CMK של דיירים.

  • ביטול CMK עבור כל הארגונים או ביטול CMK - לחץ על כפתור זה בבאנר בראש המסך כדי לבטל CMK של כל הארגונים שהוסרו.
  • לחץ על כפתור ניהול CMKs בצד ימין של המסך ולאחר מכן לחץ על בטל CMKs כדי לבטל את CMKs של כל הארגונים שהוסרו.
  • לחץ על ליד הסטטוס CMK לביטול של ארגון ספציפי בטבלה ולחץ על בטל CMK כדי לבטל CMK עבור ארגון ספציפי זה.
12

לאחר ביטול CMK בהצלחה, ארגון הלקוח לא יופיע עוד בטבלה.

13

אם ביטול CMK לא נכשל, תוצג שגיאה.

בדוק את פריסת אבטחת הנתונים ההיברידית שלך

בדוק את פריסת אבטחת הנתונים ההיברידית שלך

השתמש בהליך זה כדי לבדוק תרחישי הצפנה של אבטחת נתונים היברידית מרובת דיירים.

לפני שתתחיל

  • הגדר את פריסת אבטחת הנתונים ההיברידית מרובת הדיירים שלך.

  • ודא שיש לך גישה ל-syslog כדי לוודא שבקשות מפתח מועברות לפריסת אבטחת הנתונים ההיברידית מרובת הדיירים שלך.

1

מפתחות עבור מרחב נתון נקבעים על ידי יוצר המרחב. היכנס לאפליקציית Webex כאחד ממשתמשי ארגון הלקוחות ולאחר מכן צור מרחב.

אם תבטל את פריסת אבטחת הנתונים ההיברידית, תוכן במרחבים שמשתמשים יוצרים לא יהיה נגיש עוד לאחר החלפת עותקי מפתחות ההצפנה המאוחסנים במטמון הלקוח.

2

שלח הודעות למרחב החדש.

3

בדוק את פלט ה-syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידית שלך.

אם משתמש של ארגון לקוח חדש שנוסף מבצע פעולה כלשהי, מזהה הארגון של הארגון יופיע ביומנים, וניתן להשתמש בו כדי לוודא שהארגון ממנף HDS רב-דיירים. בדוק את הערך של kms.data.orgId ב-syslogs.

  1. כדי לבדוק אם משתמש מקים לראשונה ערוץ מאובטח למערכת ה-KMS, סנן לפי kms.data.method=create ו- kms.data.type=EPHEMERAL_KEY_COLLECTION:

    עליך למצוא ערך כגון הבא (מזהים מקוצרים לצורך קריאה):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
    https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
    clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
     kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
    kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  2. כדי לבדוק אם משתמש מבקש מפתח קיים ממערכת ה-KMS, סנן לפי kms.data.method=retrieve ו- kms.data.type=KEY:

    אתה אמור למצוא ערך כגון:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
     WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
     kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  3. כדי לבדוק אם יש משתמש שמבקש יצירת מפתח KMS חדש, סנן לפי kms.data.method=create ו- kms.data.type=KEY_COLLECTION:

    אתה אמור למצוא ערך כגון:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
     (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
    kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
    kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  4. כדי לבדוק אם משתמש מבקש יצירת אובייקט משאב KMS (KRO) חדש כאשר נוצר מרחב או משאב מוגן אחר, סנן לפי kms.data.method=create ו- kms.data.type=RESOURCE_COLLECTION:

    אתה אמור למצוא ערך כגון:
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
    clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
     kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation  

ניטור תקינות אבטחת נתונים היברידית

מחוון סטטוס בתוך Partner Hub מראה לך אם הכל תקין בפריסת אבטחת נתונים היברידית מרובת דיירים. לקבלת התראות יזומות יותר, הירשמו לקבלת התראות בדוא"ל. תקבלו הודעה כאשר יהיו התראות או שדרוגי תוכנה המשפיעים על השירות.
1

ב מרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך.

2

במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על ערוך הגדרות.

מופיע דף הגדרות אבטחת נתונים היברידיים.
3

במקטע התראות דוא"ל, הקלד כתובת דוא"ל אחת או יותר המופרדות בפסיקים, ולחץ על Enter.

ניהול פריסת ה-HDS שלך

ניהול פריסת HDS

השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידית שלך.

הגדרת לוח זמנים לשדרוג אשכולות

שדרוגי תוכנה עבור אבטחת נתונים היברידית מתבצעים באופן אוטומטי ברמת האשכול, מה שמבטיח שכל הצמתים תמיד מריצים את אותה גרסת תוכנה. שדרוגים מתבצעים בהתאם ללוח הזמנים של השדרוג עבור האשכול. כאשר שדרוג תוכנה הופך לזמין, יש לך אפשרות לשדרג ידנית את האשכול לפני מועד השדרוג המתוכנן. ניתן להגדיר לוח זמנים ספציפי לשדרוג או להשתמש בלוח הזמנים המוגדר כברירת מחדל של 3:00 AM Daily ארצות הברית: America/Los אנג'לס. באפשרותך גם לבחור לדחות שדרוג עתידי, במידת הצורך.

כדי להגדיר את לוח הזמנים של השדרוג:

1

היכנס למרכז השותפים.

2

מהתפריט בצד שמאל של המסך, בחר שירותים.

3

במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הגדר

4

בדף משאבי אבטחת נתונים היברידיים, בחר את האשכול.

5

לחץ על הכרטיסייה הגדרות אשכול.

6

בדף הגדרות אשכול, תחת לוח זמנים לשדרוג, בחר את הזמן ואזור הזמן עבור לוח הזמנים של השדרוג.

הערות מתחת לאזור הזמן, מוצגים התאריך והשעה הזמינים הבאים לשדרוג. ניתן לדחות את השדרוג ליום המחרת, במידת הצורך, על ידי לחיצה על דחייה ב-24 שעות.

שנה את תצורת הצומת

מדי פעם ייתכן שיהיה עליך לשנות את התצורה של צומת אבטחת הנתונים ההיברידי שלך מסיבה כגון:
  • שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.

    איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.

  • עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.

    איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.

  • יצירת תצורה חדשה להכנת מרכז נתונים חדש.

כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:

  • איפוס רך— הסיסמאות הישנות והחדשות פועלות עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.

  • איפוס קשיח— הסיסמאות הישנות מפסיקות לפעול באופן מיידי.

אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.

השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.

לפני שתתחיל

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את פרטי הגישה של חשבון Partner Hub עם הרשאות מנהל מלאות של השותף.

    אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS עבור שלבים 1.א' עד 1.ה' בהליך שלהלן. ראה הפעלת כלי HDS Setup באמצעות Podman Desktop לפרטים.

    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, פורט, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker ב- 1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.

1

באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS.

  1. בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

    בסביבות רגילות:

    docker rmi ciscocitg/hds-setup:stable

    בסביבות FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

  2. כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

    docker login -u hdscustomersro
  3. בשורת הסיסמה, הזן גיבוב זה:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

    בסביבות רגילות:

    docker pull ciscocitg/hds-setup:stable

    בסביבות FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    הקפד למשוך את כלי ההתקנה העדכני ביותר עבור הליך זה. גרסאות של הכלי שנוצרו לפני 22 בפברואר 2018 אינן כוללות את המסכים לאיפוס הסיסמה.

  5. לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

    • בסביבות רגילות ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • בסביבות רגילות עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות רגילות עם HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • בסביבות FedRAMP ללא פרוקסי:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • בסביבות FedRAMP עם פרוקסי HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

  6. השתמש בדפדפן כדי להתחבר ל- localhost, http://127.0.0.1:8080.

    כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost.

  7. כאשר תתבקש, הזן את פרטי הכניסה שלך למרכז השותפים ולאחר מכן לחץ על קבל כדי להמשיך.

  8. ייבא את קובץ ה- ISO הנוכחי של התצורה.

  9. בצע את ההנחיות כדי להשלים את הכלי ולהוריד את הקובץ המעודכן.

    כדי לכבות את כלי ההתקנה, הקלד CTRL+C.

  10. צור עותק גיבוי של הקובץ המעודכן במרכז נתונים אחר.

2

אם יש לך רק צומת HDS אחד שפועל, צור מכונה וירטואלית חדשה של צומת אבטחת נתונים היברידי ורשום אותה באמצעות קובץ ISO התצורה החדש. להוראות מפורטות יותר, ראה צור ורישום צמתים נוספים.

  1. התקן את OVA המארח HDS.

  2. הגדר את ה-HDS VM.

  3. הרכיב את קובץ התצורה המעודכן.

  4. רשום את הצומת החדש במרכז השותפים.

3

עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא:

  1. כבה את המחשב הווירטואלי.

  2. בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

  3. לחץ על CD/DVD Drive 1, בחר באפשרות לטעינה מקובץ ISO ועבור למיקום שבו הורדת את קובץ ה-ISO החדש של התצורה.

  4. בדוק את 'התחבר' בעת ההפעלה.

  5. שמור את השינויים והחשמל במחשב הווירטואלי.

4

חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה.

ביטול מצב רזולוציית DNS חיצוני חסום

בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.

אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.

לפני שתתחיל

ודא ששרתי ה- DNS הפנימיים שלך יכולים לפתור שמות DNS ציבוריים, ושהצמתים שלך יכולים לתקשר איתם.
1

בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, ⁦https://192.0.2.0/setup),⁩ הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס.

2

עבור אל סקירה כללית (דף ברירת המחדל).

כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes .

3

עבור אל דף חנות האמון וה- Proxy .

4

לחץ על בדוק חיבורProxy.

אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא.

מה הלאה?

חזור על בדיקת חיבור ה- Proxy בכל צומת באשכול אבטחת הנתונים ההיברידי שלך.

הסרת צומת

השתמש בהליך זה כדי להסיר צומת אבטחת נתונים היברידית מענן Webex. לאחר הסרת הצומת מהאשכול, מחק את המכונה הווירטואלית כדי למנוע גישה נוספת לנתוני האבטחה שלך.
1

השתמש בלקוח VMware vSphere במחשב שלך כדי להתחבר למארח הווירטואלי של ESXi ולכבות את המכונה הווירטואלית.

2

הסר את הצומת:

  1. היכנס למרכז השותפים ולאחר מכן בחר שירותים.

  2. בכרטיס אבטחת נתונים היברידית, לחץ על הצג הכל כדי להציג את הדף משאבי אבטחת נתונים היברידיים.

  3. בחר את האשכול שלך כדי להציג את לוח הסקירה הכללית שלו.

  4. לחץ על הצומת שברצונך להסיר.

  5. לחץ על בטל רישום צומת זה בחלונית שמופיעה מימין

  6. ניתן גם לבטל את רישום הצומת על ידי לחיצה על … בצד ימין של הצומת ובחירה באפשרות הסר צומת זה.

3

בלקוח vSphere, מחק את המכונה הווירטואלית. (בחלונית הניווט השמאלית, לחצו לחיצה ימנית על המכונה הווירטואלית ולחצו על מחק.)

אם לא תמחק את המכונה הווירטואלית, זכור לבטל את טעינת קובץ ה-ISO של התצורה. ללא קובץ ה-ISO, לא ניתן להשתמש במכונה הווירטואלית כדי לגשת לנתוני האבטחה שלך.

התאוששות מאסון באמצעות מרכז נתונים במצב המתנה

השירות הקריטי ביותר שמספק אשכול אבטחת הנתונים ההיברידי שלך הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידית, בקשות חדשות ליצירת מפתחות מנותבות לאשכול. האשכול אחראי גם על החזרת המפתחות שהוא יצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.

מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חיוני שהאשכול ימשיך לפעול וכי גיבויים תקינים יתוחזקו. אובדן מסד הנתונים של אבטחת נתונים היברידית או של תצורת ה-ISO המשמשת עבור הסכימה יביא לאובדן בלתי ניתן לשחזור של תוכן הלקוח. הנהלים הבאים הם חובה כדי למנוע אובדן כזה:

אם אסון גורם לפריסת ה-HDS במרכז הנתונים הראשי להפוך ללא זמינה, בצע הליך זה כדי לבצע מעבר ידני למרכז הנתונים המתנה.

לפני שתתחיל

בטל את הרישום של כל הצמתים ממרכז השותפים כפי שצוין ב- הסרת צומת. השתמש בקובץ ה-ISO העדכני ביותר שתצורתו נקבעה כנגד צמתים של האשכול שהיה פעיל בעבר, כדי לבצע את הליך הגיבוי לגיבוי המוזכר להלן.
1

הפעל את כלי הגדרת HDS ופעל לפי השלבים המוזכרים ב- צור קובץ ISO של תצורה עבור מארחי HDS.

2

השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא.

3

צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור את עותק הגיבוי בצורה מאובטחת. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת נתונים היברידית שצריכים לבצע שינויי תצורה.

4

בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות.

5

לחץ על ערוך הגדרות >CD/DVD כונן 1 ובחר קובץ ISO של מאגר נתונים.

ודא ש מחובר ו- התחבר בעת ההפעלה מסומנים כדי ששינויי תצורה מעודכנים יוכלו להיכנס לתוקף לאחר הפעלת הצמתים.

6

הפעל את צומת ה-HDS וודא שאין אזעקות במשך 15 דקות לפחות.

7

רשום את הצומת במרכז השותפים. עיין ב- רשום את הצומת הראשון באשכול.

8

חזור על התהליך עבור כל צומת במרכז הנתונים המתנה.

מה הלאה?

לאחר מעבר לגיבוי, אם מרכז הנתונים הראשי הופך שוב לפעיל, בטל את רישום הצמתים של מרכז הנתונים הנוכחי וחזור על תהליך הגדרת ISO ורישום הצמתים של מרכז הנתונים הראשי כפי שצוין לעיל.

(אופציונלי) ניתוק ISO לאחר הגדרת HDS

תצורת ה-HDS הסטנדרטית פועלת כאשר ה-ISO מותקן. אבל, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מורכבים באופן רציף. ניתן לבטל את טעינת קובץ ה-ISO לאחר שכל צמתי ה-HDS יאמצו את התצורה החדשה.

אתה עדיין משתמש בקבצי ה-ISO כדי לבצע שינויי תצורה. כשאתה יוצר ISO חדש או מעדכן ISO דרך כלי ההתקנה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS שלך. לאחר שכל הצמתים שלך אימצו את שינויי התצורה, תוכל לבטל שוב את ה-ISO באמצעות הליך זה.

לפני שתתחיל

שדרגו את כל צמתי ה-HDS שלכם לגרסה 2021.01.22.4720 או מאוחרת יותר.

1

כבה את אחד מצמתי ה-HDS שלך.

2

ב-vCenter Server Appliance, בחר את צומת HDS.

3

בחר ערוך הגדרות > CD/DVD כונן ובטל את הסימון של קובץ ISO של מאגר נתונים.

4

הפעל את צומת ה-HDS וודא שאין אזעקות במשך 20 דקות לפחות.

5

חזור על הפעולה עבור כל צומת HDS בתורו.

פתרון בעיות אבטחת נתונים היברידית

צפה בהתראות ופתור בעיות

פריסת אבטחת נתונים היברידית נחשבת לזמינה אם כל הצמתים באשכול אינם ניתנים להשגה, או שהאשכול פועל כל כך לאט שזמן הקצוב לבקשות מופסק. אם משתמשים אינם יכולים להגיע לאשכול אבטחת הנתונים ההיברידי שלך, הם חווים את התסמינים הבאים:

  • לא ניתן ליצור רווחים חדשים (לא ניתן ליצור מפתחות חדשים)

  • הודעות וכותרות חללים נכשלות בפענוח עבור:

    • משתמשים חדשים נוספו לחלל (לא ניתן לאחזר מפתחות)

    • משתמשים קיימים במרחב המשתמשים בלקוח חדש (לא ניתן לאחזר מפתחות)

  • משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה

חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידי שלך ותתייחס לכל התראות במהירות כדי למנוע שיבושים בשירות.

התראות

אם יש בעיה בהגדרת אבטחת נתונים היברידית, מרכז השותפים מציג התראות למנהל הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל שהוגדרה. ההתראות מכסות תרחישים נפוצים רבים.

טבלה 1. בעיות נפוצות והצעדים לפתרונן

התראה

פעולה

כשל בגישה למסד נתונים מקומי.

בדוק אם יש שגיאות במסד הנתונים או בעיות ברשת המקומית.

כשל בחיבור מסד נתונים מקומי.

ודא ששרת מסד הנתונים זמין, ושבוצעו שימוש בפרטי הגישה הנכונים של חשבון השירות בתצורת הצומת.

כשל בגישה לשירות ענן.

ודא שהצמתים יכולים לגשת לשרתי Webex כפי שצוין ב- דרישות קישוריות חיצוניות.

חידוש רישום שירותי ענן.

ההרשמה לשירותי ענן בוטלה. חידוש הרישום נמצא בעיצומו.

רישום שירות הענן בוטל.

ההרשמה לשירותי ענן הסתיימה. השירות נסגר.

השירות טרם הופעל.

הפעל את HDS במרכז השותפים.

הדומיין שתצורתו נקבעה אינו תואם לאישור השרת.

ודא שאישור השרת שלך תואם לדומיין הפעלת השירות שהוגדר.

הסיבה הסבירה ביותר היא שמספר ה-CN של האישור שונה לאחרונה וכעת הוא שונה ממספר ה-CN ששימש במהלך ההתקנה הראשונית.

נכשל באימות מול שירותי ענן.

בדוק את הדיוק ואת האפשרות של תפוגת פרטי הגישה של חשבון השירות.

נכשלה פתיחת קובץ מאגר המפתחות המקומי.

בדוק את שלמות ודיוק הסיסמה בקובץ מאגר המפתחות המקומי.

אישור השרת המקומי אינו חוקי.

בדוק את תאריך התפוגה של אישור השרת וודא שהוא הונפק על ידי רשות אישורים מהימנה.

לא ניתן לפרסם מדדים.

בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים.

/media/configdrive/hds הספרייה אינה קיימת.

בדוק את תצורת הרכבת ה-ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לטעינה בעת אתחול מחדש, ושהוא נטען בהצלחה.

הגדרת ארגון הדיירים לא הושלמה עבור הארגונים שנוספו

השלם את ההתקנה על ידי יצירת CMKs עבור ארגוני דיירים חדשים שנוספו באמצעות כלי ההתקנה של HDS.

הגדרת ארגון הדיירים לא הושלמה עבור הארגונים שהוסרו

השלם את ההתקנה על ידי ביטול CMK של ארגוני דיירים שהוסרו באמצעות כלי ההתקנה של HDS.

פתרון בעיות אבטחת נתונים היברידית

השתמש בהנחיות הכלליות הבאות בעת פתרון בעיות באבטחת נתונים היברידית.
1

בדוק את Partner Hub עבור התראות ותקן את הפריטים שאתה מוצא שם. ראה את התמונה למטה לצורך התייחסות.

2

סקור את פלט שרת ה-syslog עבור פעילות מפריסת אבטחת נתונים היברידית. סנן לפי מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות.

3

צרו קשר עם תמיכת סיסקו.

הערות נוספות

בעיות ידועות באבטחת נתונים היברידית

  • אם תסגור את אשכול אבטחת הנתונים ההיברידי שלך (על ידי מחיקתו במרכז השותפים או על ידי סגירת כל הצמתים), תאבד את קובץ ה-ISO של התצורה שלך, או תאבד גישה למסד הנתונים של מאגר המפתחות, משתמשי אפליקציית Webex של ארגוני לקוחות לא יוכלו עוד להשתמש ברווחים תחת רשימת האנשים שלהם שנוצרו עם מפתחות ממערכת ניהול התוכן שלך. אין לנו כרגע פתרון או פתרון לבעיה זו, ואנחנו ממליצים לכם לא לסגור את שירותי ה-HDS שלכם ברגע שהם מטפלים בחשבונות משתמשים פעילים.

  • לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן מסוים (ככל הנראה שעה אחת).

הפעל את כלי הגדרת HDS באמצעות Podman Desktop

פודמן הוא כלי ניהול מכולות חינמי וקוד פתוח המספק דרך להפעיל, לנהל וליצור מכולות. ניתן להוריד את Podman Desktop מאתר https://podman-desktop.io/downloads.

  • כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הורידו והפעילו את Podman על אותו מכונה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.

    אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:

    תיאור

    משתנה

    HTTP Proxy ללא אימות

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    פרוקסי HTTPS ללא אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy עם אימות

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    פרוקסי HTTPS עם אימות

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:

    • אישורי מסד נתונים

    • עדכוני תעודות

    • שינויים במדיניות ההרשאה

  • אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.

תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.

1

בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך:

בסביבות רגילות:

podman rmi ciscocitg/hds-setup:stable  

בסביבות FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה.

2

כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים:

podman login docker.io -u hdscustomersro
3

בשורת הסיסמה, הזן גיבוב זה:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך:

בסביבות רגילות:

podman pull ciscocitg/hds-setup:stable

בסביבות FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:

  • בסביבות רגילות ללא פרוקסי:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות רגילות עם פרוקסי HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • בסביבות FedRAMP ללא פרוקסי:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • בסביבות FedRAMP עם פרוקסי HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080".

מה הלאה?

בצעו את השלבים הנותרים ב- יצירת קובץ ISO של תצורה עבור מארחי HDS או שינוי תצורת הצומת כדי ליצור או לשנות את תצורת ה-ISO.

העברת פריסת HDS קיימת של דייר יחיד של ארגון שותף ב-Control Hub להגדרת HDS מרובת דיירים ב-Partner Hub

ההמרה מפריסת HDS קיימת של דייר יחיד של ארגון שותף המנוהל ב-Control Hub לפריסת HDS מרובת דיירים המנוהלת ב-Partner Hub כרוכה בעיקר בביטול שירות HDS ב-Control Hub, ביטול רישום צמתים ומחיקת האשכול. לאחר מכן תוכל להתחבר למרכז השותפים, לרשום את הצמתים, להפעיל את HDS Multi-Tenant ולהוסיף לקוחות לאשכול שלך.

המונח "דייר יחיד" מתייחס פשוט לפריסת HDS קיימת ב- Control Hub.

ביטול הפעלת HDS, ביטול רישום של צמתים ומחיקת אשכול במרכז הבקרה

1

התחבר למרכז הבקרה. בחלונית השמאלית, לחץ על היברידי. בכרטיס אבטחת נתונים היברידית, לחץ על ערוך הגדרות

2

בדף ההגדרות, גלול מטה אל הקטע "השבתה" ולחץ על "השבתה".

3

לאחר הביטול, לחצו על הכרטיסייה משאבים.

4

הדף משאבים מפרט את האשכולות בפריסת ה-HDS שלך. לחיצה על אשכול, ייפתח דף עם כל הצמתים תחת אשכול זה.

5

לחץ על ... מימין ולאחר מכן לחץ על בטל רישום צומת. חזור על התהליך עבור כל הצמתים באשכול.

6

אם הפריסה שלך כוללת מספר אשכולות, חזור על שלב 4 ושלב 5 עד שכל הצמתים יבוטלו מהרשימה.

7

לחץ על הגדרות אשכול > הסר את .

8

לחץ על אישור הסרה כדי לבטל את רישום האשכול.

9

חזור על התהליך עבור כל האשכולות בפריסת ה-HDS שלך.

לאחר ביטול הפעלה של HDS, ביטול רישום של צמתים והסרת אשכולות, כרטיס שירות הנתונים ההיברידי במרכז הבקרה יציג את הכיתוב ההתקנה לא הושלמה בתחתית.

הפעלת HDS רב-דיירים עבור ארגון השותפים במרכז השותפים והוספת לקוחות

לפני שתתחיל

כל הדרישות המקדימות המוזכרות ב- דרישות לאבטחת נתונים היברידית מרובת דיירים חלות כאן. בנוסף, יש לוודא שאותו מסד נתונים ואישורים משמשים במהלך המעבר ל-HDS רב-דיירים.

1

התחבר למרכז השותפים. לחץ על שירותים בחלונית השמאלית.

השתמש באותו קוד ISO מפריסת ה-HDS הקודמת שלך כדי להגדיר את הצמתים. פעולה זו תבטיח שהודעות ותוכן שנוצרו על ידי המשתמשים בפריסת HDS הקודמת הקיימת עדיין יהיו נגישים בהגדרה החדשה של Multi-Tenant.

2

במקטע שירותי ענן, מצא את הכרטיס אבטחת נתונים היברידית ולחץ על הגדר.

3

בדף שנפתח, לחצו על הוספת משאב.

4

בשדה הראשון של הכרטיס הוסף צומת, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידית שלך.

אנו ממליצים לתת שם לאשכול בהתבסס על מיקום צמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס"

5

בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת שלך ולחץ על הוסף בתחתית המסך.

כתובת ה-IP או ה-FQDN הזו צריכים להתאים לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת ב- הגדרת מכונת אבטחת נתונים היברידית.

מופיעה הודעה המציינת שבאפשרותך לרשום את הצומת שלך ב-Webex.
6

לחץ על עבור אל צומת.

לאחר מספר רגעים, תועברו לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות יעברו בהצלחה, יופיע הדף אפשר גישה לצומת אבטחת נתונים היברידי. שם, עליך לאשר שברצונך להעניק לארגון Webex שלך הרשאות גישה לצומת שלך.

7

סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידי שלך ולאחר מכן לחץ על המשך.

החשבון שלך אומת וההודעה "ההרשמה הושלמה" מציינת שהצומת שלך רשום כעת ב-Webex Cloud. בדף אבטחת נתונים היברידית, האשכול החדש המכיל את הצומת שרשמת מוצג תחת הכרטיסייה משאבים. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
8

עבור אל הכרטיסייה הגדרות ולחץ על הפעל בכרטיס סטטוס HDS.

ההודעהHDS הופעל תופיע בתחתית המסך.
9

ב משאבים, לחץ על האשכול החדש שנוצר.

10

בדף שנפתח, לחצו על הכרטיסייה לקוחות שהוקצו.

11

לחץ על הוסף לקוחות.

12

בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח.

13

לחץ על הוסף, הלקוח יתווסף לאשכול.

14

חזור על שלבים 11 עד 13 כדי להוסיף מספר לקוחות לאשכול שלך.

15

לחץ על סיום בתחתית המסך לאחר הוספת הלקוחות.

מה הלאה?

הפעל את כלי הגדרת HDS כמפורט ב- צור מפתחות ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS כדי להשלים את תהליך ההגדרה.

השתמש ב-OpenSSL כדי ליצור קובץ PKCS12

לפני שתתחיל

  • OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ PKCS12 בפורמט המתאים לטעינה בכלי ההתקנה של HDS. ישנן דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.

  • אם בכל זאת תבחרו להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיה שיעזור לכם ליצור קובץ העומד בדרישות אישור X.509 ב- דרישות אישור X.509. הבן את הדרישות הללו לפני שתמשיך.

  • התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.

  • צור מפתח פרטי.

  • התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.

1

כאשר תקבל את אישור השרת מ-CA שלך, שמור אותו בשם hdsnode.pem.

2

הצג את האישור כטקסט ואמת את הפרטים.

openssl x509 -text -noout -in hdsnode.pem

3

השתמש בעורך טקסט כדי ליצור קובץ חבילת אישורים בשם hdsnode-bundle.pem. קובץ החבילה חייב לכלול את אישור השרת, כל אישור CA ביניים, ואת אישור CA הבסיס, בפורמט הבא:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

צור את קובץ ה-.p12 עם השם הידידותי kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

בדוק את פרטי אישור השרת.

  1. openssl pkcs12 -in hdsnode.p12

  2. הזן סיסמה בשורת הפקודה כדי להצפין את המפתח הפרטי כך שהוא יופיע בפלט. לאחר מכן, ודא שהמפתח הפרטי והתעודה הראשונה כוללים את השורות friendlyName: kms-private-key.

    דוגמה:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

מה הלאה?

חזור אל השלם את הדרישות המוקדמות לאבטחת נתונים היברידית. תשתמשו בקובץ hdsnode.p12 ובסיסמה שהגדרתם עבורו, תחת צור קובץ ISO של תצורה עבור מארחי HDS.

באפשרותך לעשות שימוש חוזר בקבצים אלה כדי לבקש אישור חדש כאשר האישור המקורי יפוג תוקפו.

תעבורה בין צמתי HDS לענן

איסוף מדדים יוצאים של תנועה

צמתי אבטחת נתונים היברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת הליכים; מדדים על הליכים סינכרוניים ואסינכרוניים; מדדים על התראות הכרוכות בסף של חיבורי הצפנה, השהייה או אורך תור בקשות; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהבקשה).

תנועה נכנסת

צמתי אבטחת נתונים היברידיים מקבלים את סוגי התעבורה הנכנסת הבאים מענן Webex:

  • בקשות הצפנה מלקוחות, המנותבות על ידי שירות ההצפנה

  • שדרוגים לתוכנת הצומת

הגדרת פרוקסי Squid עבור אבטחת נתונים היברידית

Websocket לא יכול להתחבר באמצעות פרוקסי דיונון

שרתים פרוקסיים של Squid שבודקים תעבורת HTTPS עלולים להפריע ליצירת חיבורי websocket (wss:) הנדרשים על ידי Hybrid Data Security. סעיפים אלה מספקים הנחיות כיצד להגדיר גרסאות שונות של Squid להתעלם מתעבורה wss: לצורך פעולה תקינה של השירותים.

דיונון 4 ו-5

הוסף את הפקודה on_unsupported_protocol ל- squid.conf:

on_unsupported_protocol tunnel all

דיונון 3.5.27

בדקנו בהצלחה אבטחת נתונים היברידית עם הכללים הבאים שנוספו ל- squid.conf. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
האם המאמר הועיל לך?
האם המאמר הועיל לך?