- בית
- /
- מאמר
מדריך פריסה לאבטחת נתונים היברידית מרובת דיירים (HDS) (בטא)
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
13 בדצמבר 2024 |
מהדורה ראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 6.5 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 6.5. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל מרכז השותפים ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
15 בינואר 2025 |
נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים. |
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים
- לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
- לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
- לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.
הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.
הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.
- אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
- נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
- לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל Partner Hub ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
30 בינואר 2025 |
נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים. |
15 בינואר 2025 |
נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים. |
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים
- לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
- לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
- לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.
הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.
הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.
- אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
- נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
- לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל Partner Hub ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
30 בינואר 2025 |
נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים. |
15 בינואר 2025 |
נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים. |
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים
- לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
- לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
- לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.
הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.
הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.
- אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
- נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
- לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (אי בדיקה) של תעבורה כדי
wbx2.com
ciscospark.comתפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל Partner Hub ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על 4 CPU ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה- URL |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
נציג גלובלי__HTTP_PROXY=HTTP://SERVER_IP:יציאה
פרוקסי HTTPS ללא אימות
נציג גלובלי__HTTPS_PROXY=HTTP://SERVER_IP:יציאה
HTTP Proxy עם אימות
נציג גלובלי__HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
נציג גלובלי__HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו, בצור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
תנועה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol מנהרה כולם
דיונון 3.5.27
בדקנו בהצלחה את אבטחת הנתונים ההיברידית עם הכללים הבאים שנוספו ל - squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
מידע חדש ושינויים
מידע חדש ושינויים
הטבלה הזו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן הקיים וכל השגיאות העיקריות שתוקנו במדריך הפריסה לאבטחת נתונים היברידיים של ריבוי דיירים.
תאריך |
השינויים שבוצעו |
---|---|
04 במרץ 2025 |
|
30 בינואר 2025 |
נוספה גרסת SQL server 2022 לרשימת שרתי SQL נתמכים בדרישות שרת מסד נתונים. |
15 בינואר 2025 |
נוספו מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים. |
08 בינואר 2025 |
הוספת הערה בבצע הגדרה ראשונית והורד קובצי התקנה וקבע כי לחיצה על הגדרה בכרטיס HDS ב-Partner Hub היא שלב חשוב בתהליך ההתקנה. |
07 בינואר 2025 |
עודכנו דרישות מארח וירטואלי, זרימת משימת פריסת אבטחת נתונים היברידיים, והתקן את HDS Host OVA כדי להציג דרישה חדשה של ESXi 7.0. |
13 בדצמבר 2024 |
פורסם לראשונה. |
השבת אבטחת נתונים היברידיים של ריבוי דיירים
זרימת משימת השבתת HDS של ריבוי דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS של ריבוי דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין בסעיף הסר ארגוני דייר. |
2 |
שלול את ה-CMKs של כל הלקוחות, כפי שצוין ב-שלול CMKs של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שהוזכר בהסר צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הלשונית הגדרות בדף הסקירה של אבטחת הנתונים ההיברידיים ולחץ על השבת HDS בכרטיס מצב HDS. |
תחילת העבודה עם אבטחת נתונים היברידיים של ריבוי דיירים
סקירה כללית של אבטחת נתונים היברידיים של ריבוי דיירים
מהיום הראשון, אבטחת הנתונים הייתה המוקד העיקרי בעיצוב יישום Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על-ידי לקוחות יישום Webex המתקשרים עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות יישום Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים ב-KMS בענן, בתחום האבטחה של Cisco. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידיים של ריבוי דיירים מאפשרת לארגונים למנף את ה-HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה בפריסה ובניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמש של ארגוני לקוחות יהיו בטוחים מגישה חיצונית. ארגוני שותפים מגדירים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך בארגוני לקוחות מרובים, בניגוד לפריסת HDS רגילה, שמוגבלת לארגון אחד.
זה גם מאפשר לארגונים קטנים יותר למנף את ה-HDS, מאחר ששירותי ניהול מפתח ותשתית אבטחה כמו מרכזי נתונים נמצאים בבעלות השותף המקומי המהימן.
כיצד אבטחת נתונים היברידיים של ריבוי דיירים מספקת ריבונות נתונים ובקרת נתונים
- התוכן שנוצר על ידי המשתמש מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מהימנים מקומיים מנהלים את מפתחות ההצפנה של לקוחות שאיתם יש להם כבר מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם סופקת על ידי השותף.
- תומך בתוכן פגישות, העברת הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להגדיר ולנהל לקוחות תחת מערכת אבטחת נתונים היברידית של ריבוי דיירים.
מגבלות של אבטחת נתונים היברידיים של ריבוי דיירים
- לארגונים שותפים לא יכולה להיות פריסת HDS קיימת פעילה ב-Control Hub.
- לארגוני דייר או לקוחות שרוצים להיות מנוהלים על-ידי שותף לא יכולות להיות פריסת HDS קיימת ב-Control Hub.
- לאחר פריסת HDS של ריבוי דיירים על-ידי השותף, כל המשתמשים של ארגוני הלקוחות והמשתמשים של ארגון השותף מתחילים למנף HDS של ריבוי דיירים עבור שירותי ההצפנה שלהם.
הארגון השותף וארגוני הלקוח שהם מנהלים יהיו באותה פריסת HDS של ריבוי דיירים.
הארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS של ריבוי דיירים.
- אין מנגנון להעביר מפתחות בחזרה אל Cloud KMS לאחר פריסת HDS.
- נכון לעכשיו, כל פריסת HDS של ריבוי דיירים יכולה לכלול אשכול אחד בלבד, עם צמתים מרובים מתחתיה.
- לתפקידי מנהל מערכת יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.
תפקידים באבטחת נתונים היברידיים של ריבוי דיירים
- מנהל מערכת מלא של שותף - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל מערכת של שותף - יכול לנהל הגדרות עבור לקוחות שמנהל המערכת הקצה או שהוקצה למשתמש.
- מנהל מערכת מלא - מנהל מערכת של ארגון השותף שמורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS עם ריבוי דיירים של כל ארגוני הלקוחות – נדרשות זכויות של מנהל מערכת מלא של שותף ומנהל מערכת מלא.
- ניהול ארגוני דייר מוקצים - נדרשות זכויות של מנהל שותפים ומנהל מערכת מלא.
ארכיטקטורת תחום אבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירות לתחומים נפרדים, או דומיינים של אמון, כפי שמתואר להלן.

כדי להבין עוד יותר את אבטחת הנתונים ההיברידיים, תחילה נסתכל על מקרה הענן הטהור הזה, שבו Cisco מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהויות, המקום היחיד שבו משתמשים יכולים להיות מתואמים ישירות עם המידע האישי שלהם, כגון כתובת הדוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז הנתונים B. שניהם, בתורם, נפרדים מהתחום שבו התוכן המוצפן מאוחסן בסופו של דבר, במרכז הנתונים C.
בתרשים זה, הלקוח הוא יישום Webex הפועל על מחשב נייד של משתמש, והוא מאומת עם שירות הזהויות. כאשר המשתמש מרכיב הודעה לשליחה למרחב, מתרחשים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, וה-KMS מצפין את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא תעזוב את הלקוח. הלקוח שולח אותו לשירות האינדקס, שיוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לבדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
כאשר אתה פורס אבטחת נתונים היברידיים, אתה מעביר את פונקציות תחום האבטחה (KMS, אינדקס ותאימות) למרכז הנתונים המקומי שלך. שירותי הענן האחרים שמרכיבים את Webex (כולל זהות ואחסון תוכן) נשארים בתחומי Cisco.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש ביישום Webex באופן קבוע כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד מהמשתמשים מבקש מפתח עבור מרחב שנמצא בבעלות הארגון שלך (מכיוון שהוא נוצר על-ידי אחד מהמשתמשים שלך) ה-KMS שולח את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר המפתח של המרחב נמצא בבעלות ארגון אחר, ה-KMS שלך מנתב את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח מה-KMS המתאים, ולאחר מכן מחזיר את המפתח למשתמש בערוץ המקורי.

שירות KMS הפועל בארגון A מאמת את החיבורים ל-KMS בארגונים אחרים באמצעות תעודות PKI x.509. ראה הכנת הסביבה שלך לקבלת פרטים על יצירת תעודת x.509 לשימוש עם פריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
ציפיות לפריסת אבטחת נתונים היברידיים
פריסת אבטחת נתונים היברידיים דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידיים, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה והגישה לרשת המתוארים בהכנת הסביבה שלך.
אובדן מוחלט של תצורת ה-ISO שאתה בונה עבור אבטחת נתונים היברידיים או מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע מהמשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים ביישום Webex. אם זה יקרה, תוכל לבנות פריסה חדשה, אבל רק תוכן חדש יהיה גלוי. כדי למנוע איבוד גישה לנתונים, עליך:
-
נהל את הגיבוי וההחלמה של מסד הנתונים ואת תצורת ISO.
-
התכונן לבצע התאוששות מהירה של אסונות אם מתרחש אסון, כגון כשל בדיסק מסד נתונים או אסון של מרכז נתונים.
אין מנגנון להעברת מפתחות בחזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההגדרה והניהול של פריסת אבטחת נתונים היברידיים של ריבוי דיירים:
-
הגדר אבטחת נתונים היברידיים – זה כולל הכנת תשתית נדרשת והתקנת תוכנת אבטחת נתונים היברידיים, בניית אשכול HDS, הוספת ארגוני דייר לאשכול וניהול המפתחות העיקריים של הלקוח (CMK) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידיים שלך עבור פונקציות אבטחה.
שלבי ההגדרה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידיים שלך – ענן Webex מספק שדרוגים מתמשכים באופן אוטומטי. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה אחת לפריסה הזו, ולעסוק בתמיכה של Cisco לפי הצורך. באפשרותך להשתמש בהתראות על גבי המסך ולהגדיר התראות המבוססות על דוא"ל במרכז השותפים.
-
להבין התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות – אם אתה נתקל בבעיות בפריסה או שימוש באבטחת נתונים היברידיים, הפרק האחרון של מדריך זה והנספח 'בעיות מוכרות' עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידיים
במרכז הנתונים הארגוני שלך, אתה פורס את אבטחת הנתונים ההיברידיים כאשכול יחיד של צמתים במארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex באמצעות שקעי אינטרנט מאובטחים ו-HTTP מאובטחים.
במהלך תהליך ההתקנה, אנו מספקים לך את קובץ ה-OVA כדי להגדיר את המכשיר הווירטואלי ב-VMs שאתה מספק. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO של תצורת אשכול מותאם אישית שאתה מחבר בכל צומת. אשכול אבטחת הנתונים ההיברידיים משתמש בשרת Syslogd שסופק ובמסד הנתונים של PostgreSQL או Microsoft SQL Server. (קביעת התצורה של פרטי Syslogd וחיבור מסד הנתונים בכלי הגדרת HDS.)

מספר הצמתים המינימלי שיכולים להיות לך באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. קיום צמתים מרובים מבטיח שהשירות לא יופסק במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתונים של מפתח, ויומנים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מעמד, ומטפלים בבקשות מפתח בצורה עגולה, כפי שמכוון הענן.
צמתים הופכים לפעילים כשאתה רושם אותם במרכז השותפים. כדי להוציא צומת בודד מחוץ לשירות, באפשרותך לבטל את הרישום שלו ולאחר מכן לרשום אותו מחדש במידת הצורך.
מרכז נתונים להתאוששות מאסון
במהלך הפריסה, אתה מגדיר מרכז נתונים בהמתנה מאובטח. במקרה של אסון של מרכז נתונים, תוכל להיכשל באופן ידני בפריסה למרכז הנתונים בהמתנה.

מסדי הנתונים של מרכזי הנתונים הפעילים וההמתנה מסונכרנים זה עם זה, דבר שיפחית את הזמן שנדרש לביצוע יתירות הכשל.
צומתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא Proxy – ברירת המחדל אם אינך משתמש בתצורת HDS Trust Store & Proxy כדי לשלב Proxy. אין צורך בעדכון אישורים.
-
Proxy שקוף שאינו בודק – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית ולא צריכים לדרוש שינויים כלשהם שיפעלו עם Proxy שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת Proxy – הצמתים לא מוגדרים להשתמש בכתובת שרת Proxy ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
proxy מפורש – עם proxy מפורש, תגיד לצמתי HDS באילו שרת proxy ובסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
IP Proxy/FQDN – כתובת שניתן להשתמש בה כדי להגיע למכונת ה-Proxy.
-
יציאת Proxy – מספר יציאה שה-Proxy משתמש בו כדי להאזין לתעבורת Proxy.
-
פרוטוקול Proxy – בהתאם לתמיכת שרת ה-Proxy שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות – בחר מבין סוגי האימות הבאים:
-
ללא – לא נדרש אימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי – משמש עבור סוכן משתמש HTTP כדי לספק שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר – משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות עבור אבטחת נתונים היברידיים של ריבוי דיירים
דרישות רישיון Cisco Webex
כדי לפרוס אבטחת נתונים היברידיים של ריבוי דיירים:
-
ארגוני שותפים: פנה לשותף או למנהל החשבון של Cisco וודא שהתכונה 'ריבוי דיירים' מופעלת.
-
ארגוני דייר: אתה זקוק ל-Pro Pack עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן עבודה של Docker
לפני שתתקין את צמתי HDS, עליך להשתמש ב-Docker Desktop כדי להפעיל תוכנית הגדרה. Docker עדכן לאחרונה את דגם הרישוי שלו. ייתכן שהארגון שלך יחייב מינוי בתשלום עבור Docker Desktop. לפרטים, ראה את הפוסט בבלוג של Docker, "Docker מעדכן ומרחיב את מנויי המוצר שלנו".
לקוחות ללא רישיון Docker Desktop יכולים להשתמש בכלי ניהול מכולות בקוד פתוח כמו Podman Desktop כדי להפעיל, לנהל וליצור מכולות. לפרטים, ראה הפעל כלי הגדרת HDS באמצעות Podman Desktop .
דרישות תעודה X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנחנו נותנים אמון ב-CAs ברשימת Mozilla (למעט WoSign ו-StartCom) ב-https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או מארח חי. מומלץ להשתמש בשם שמשקף את הארגון שלך, לדוגמה, ה-CN לא יכול להכיל * (wildcard). ה-CN משמש לאימות צומתי אבטחת הנתונים ההיברידיים ללקוחות יישום Webex. כל צומתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותה תעודה. ה-KMS שלך מזהה את עצמו באמצעות דומיין CN, ולא כל דומיין שהוגדר בשדות x.509v3 SAN. לאחר שרשמת צומת בתעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת KMS אינה תומכת בחתימות SHA1 לאימות חיבורים לקבצי KMS של ארגונים אחרים. |
|
באפשרותך להשתמש בממיר כגון OpenSSL כדי לשנות את תבנית התעודה שלך. תצטרך להזין את הסיסמה כאשר תפעיל את כלי הגדרת HDS. |
תוכנת KMS אינה אוכפת שימוש במפתח או אילוצי שימוש במפתח מורחבים. רשויות אישורים מסוימות דורשות החלת אילוצי שימוש מורחב במפתח על כל אישור, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות מארח וירטואלי
למארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך יש את הדרישות הבאות:
-
לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 (ואילך) הותקן ופועל.
עליך לשדרג אם יש לך גרסה מוקדמת יותר של ESXi.
-
מינימום 4 vCPU, זיכרון ראשי של 8-GB, שטח דיסק קשיח מקומי של 30-GB לכל שרת
דרישות שרת מסד נתונים
צור מסד נתונים חדש עבור אחסון מפתחות. אל תשתמש במסד הנתונים של ברירת המחדל. יישומי HDS, כאשר הם מותקנים, יוצרים את סכימת מסד הנתונים.
קיימות שתי אפשרויות עבור שרת מסד הנתונים. הדרישות עבור כל אחד הן כדלקמן:
PostgreSQL |
שרת Microsoft SQL |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16-GB, מספיק שטח דיסק קשיח וניטור כדי להבטיח שלא תחרוג ממנו (מומלץ 2-TB אם ברצונך להפעיל את מסד הנתונים במשך זמן רב ללא צורך להגדיל את האחסון) |
תוכנת HDS מתקינה כעת את גרסאות מנהל ההתקן הבאות לתקשורת עם שרת מסד הנתונים:
PostgreSQL |
שרת Microsoft SQL |
---|---|
מנהל התקן JDBC פוסטים 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On (מופעי אשכול יתירות כשל תמיד וקבוצות זמינות תמיד). |
דרישות נוספות עבור אימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של חנות המפתחות ב-Microsoft SQL Server, עליך להגדיר את התצורה הבאה בסביבה שלך:
-
כל צומתי HDS, תשתית Active Directory ו-MS SQL Server חייבים להיות מסונכרנים עם NTP.
-
לחשבון Windows שאתה מספק לצמתי HDS חייבת להיות גישת קריאה/כתיבה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לזהות את מרכז ההפצה של המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS ב-Microsoft SQL Server כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם ראשי של שירות עבור Kerberos Connections.
כלי הגדרת HDS, משגר HDS ו-KMS מקומי כולם צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של חנות המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה עם אימות Kerberos.
דרישות קישוריות חיצונית
קבע את תצורת חומת האש שלך כדי לאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
כיוון מהיישום |
יעד |
---|---|---|---|---|
צומתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצא |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צומתי אבטחת הנתונים ההיברידיים עובדים עם תרגום גישת רשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת הנתונים ההיברידיים, אין לראות יציאות מהאינטרנט. במרכז הנתונים שלך, לקוחות צריכים גישה לצמתי אבטחת הנתונים ההיברידיים ביציאות TCP 443 ו-22, למטרות ניהוליות.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלה מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות נפוצות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
שרתי דיונון שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורי websocket (wss:). כדי לעבוד סביב בעיה זו, ראה הגדרת שרתי Squid עבור אבטחת נתונים היברידיים.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת התנועה (לא בדיקת) אל
wbx2.com
וciscospark.com
יפתור את הבעיה.
השלם את הדרישות המקדימות עבור אבטחת נתונים היברידיים
1 |
ודא שלארגון השותף שלך תכונת HDS של ריבוי דיירים מופעלת וקבל את האישורים של חשבון עם מנהל מערכת מלא של שותף וזכויות מנהל מערכת מלא. ודא שארגון לקוח Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. פנה לשותף או למנהל החשבון של Cisco לקבלת עזרה בתהליך זה. לארגוני לקוח לא צריכה להיות פריסת HDS קיימת. |
2 |
בחר שם דומיין עבור פריסת HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. דרושים לך לפחות שני מארחים נפרדים (3 מומלץ) הממוקמים ביחד באותו מרכז נתונים מאובטח, שעומדים בדרישות בדרישות מארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שיפעל כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם במשותף במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
לצורך התאוששות מהירה מאסונות, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של VMs ושרת מסד נתונים של גיבוי. לדוגמה, אם לייצור יש 3 VMs המריצים צומתי HDS, סביבת הגיבוי צריכה להיות 3 VMs. |
6 |
הגדר מארח syslog כדי לאסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת syslog שלה (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת הנתונים ההיברידיים, שרת מסד הנתונים ומארח syslog. לכל הפחות, כדי למנוע אובדן נתונים שלא ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצרו עבור צומתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת הנתונים ההיברידיים מאחסנים את המפתחות המשמשים בהצפנה ובפענוח של תוכן, אי שמירה על פריסה תפעולית תוביל לאובדן בלתי הפיך של תוכן זה. לקוחות יישום Webex מטמונים את המפתחות שלהם, לכן ייתכן שלא תבחין בהפסקה באופן מיידי, אבל היא תתברר עם הזמן. בעוד שהפסקות זמניות אינן ניתנות למניעה, הן ניתנות לשחזור. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח לא ניתנים לשחזור. מפעילי צומתי אבטחת הנתונים ההיברידיים צפויים לשמור על גיבויים תכופים של מסד הנתונים וקובץ ה-ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז נתוני אבטחת הנתונים ההיברידיים אם מתרחש כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צומתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר בדרישות קישוריות חיצונית. |
9 |
התקן את Docker ( https://www.docker.com) בכל מחשב מקומי המפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise בגרסת 64 סיביות, או Mac OSX Yosemite 10.10.3 ואילך) עם דפדפן אינטרנט שיכול לגשת אליו ב- http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, שבונה את פרטי התצורה המקומיים עבור כל צומתי אבטחת הנתונים ההיברידיים. ייתכן שאתה זקוק לרישיון שולחן עבודה של Docker. למידע נוסף, ראה דרישות שולחן עבודה של Docker . כדי להתקין ולהפעיל את כלי הגדרת HDS, המחשב המקומי חייב לכלול את הקישוריות המתוארת בדרישות קישוריות חיצונית. |
10 |
אם אתה משלב Proxy עם אבטחת נתונים היברידיים, ודא שהוא עומד בדרישות שרת Proxy. |
הגדר אשכול אבטחת נתונים היברידיים
זרימת משימת פריסת אבטחת נתונים היברידיים
1 |
בצע הגדרה ראשונית והורד קובצי התקנה הורד את קובץ ה-OVA למחשב המקומי לשימוש מאוחר יותר. |
2 |
השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה של ISO עבור צומתי אבטחת הנתונים ההיברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע תצורה ראשונית, כגון הגדרות רשת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדרת ה-VM של אבטחת נתונים היברידיים היכנס למסוף VM והגדר את אישורי הכניסה. קבע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת OVA. |
5 |
העלה והתקן את ISO של תצורת HDS קבע את תצורת ה-VM מקובץ התצורה של ISO שיצרת באמצעות כלי הגדרת HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת Proxy, ציין את סוג ה-Proxy שתשתמש בו עבור הצומת והוסף את תעודת ה-Proxy למאגר האמון במידת הצורך. |
7 |
רשום את ה-VM עם ענן Cisco Webex כצומת אבטחת נתונים היברידיים. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS של ריבוי דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דייר במרכז השותפים. |
בצע הגדרה ראשונית והורד קובצי התקנה
במשימה זו, אתה מוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצומתי אבטחת נתונים היברידיים). אתה משתמש בקובץ הזה מאוחר יותר בתהליך ההתקנה.
1 |
היכנס אל Partner Hub ולאחר מכן לחץ על שירותים. |
2 |
במקטע 'שירותי ענן', מצא את כרטיס אבטחת הנתונים ההיברידיים ולחץ על הגדר. לחיצה על הגדר במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיך בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולחץ על הורד קובץ .OVA בכרטיס התקנה וקביעת תצורה של תוכנה . גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. הדבר עלול לגרום לבעיות בעת שדרוג היישום. הקפד להוריד את הגרסה האחרונה של קובץ ה-OVA. תוכל גם להוריד את ה-OVA בכל עת מהמקטע עזרה . לחץ על . קובץ ה-OVA מתחיל להורדה באופן אוטומטי. שמור את הקובץ במיקום במחשב שלך.
|
4 |
לחלופין, לחץ על ראה מדריך פריסת אבטחת נתונים היברידיים כדי לבדוק אם קיימת גרסה עדכנית יותר של מדריך זה. |
צור ISO תצורה עבור מארחי HDS
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלאות.
אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS בשלבים 1 עד 5 בהליך שלהלן. לפרטים, ראה הפעל כלי הגדרת HDS באמצעות Podman Desktop .
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. | ||||||||||
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. | ||||||||||
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. | ||||||||||
9 |
בדף ייבוא ISO , קיימות האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת X.509 שלך עומדת בדרישות תחת דרישות אישור X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת אל מאגר הנתונים של המפתח שלך: | ||||||||||
12 |
בחר מצב חיבור למסד נתונים של TLS:
בעת העלאת תעודת הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חתימת האישור ושם המארח, אם רלוונטי. אם הבדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בשל הבדלי קישוריות, ייתכן שצמתי HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי הגדרת HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, קבע את התצורה של שרת Syslogd: | ||||||||||
14 |
(אופציונלי) באפשרותך לשנות את ערך ברירת המחדל עבור פרמטרים מסוימים של חיבור מסד נתונים בהגדרות מתקדמות. באופן כללי, פרמטר זה הוא הפרמטר היחיד שברצונך לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמה של חשבונות שירות . לסיסמאות חשבון שירות יש אורך חיים של תשעה חודשים. השתמש במסך זה כאשר התוקף של הסיסמאות שלך מתקרב, או שברצונך לאפס אותן כדי לבטל את התוקף של קובצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההגדרה, הקלד |
מה הלאה?
גבה את קובץ התצורה של ISO. עליך ליצור צמתים נוספים לשחזור, או לבצע שינויים בתצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. לא ניתן לשחזר את המפתחות ממסד הנתונים של PostgreSQL או של Microsoft SQL Server.
אף פעם אין לנו עותק של מפתח זה ולא נוכל לעזור אם תאבד אותו.
התקן את HDS Host OVA
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi. |
2 |
בחר קובץ > פרוס תבנית OVF. |
3 |
באשף, ציין את המיקום של קובץ ה-OVA שהורדת מוקדם יותר ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה , הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה לשכון, ולאחר מכן לחץ על הבא. |
5 |
בדף בחר משאב מחשב , בחר את משאב המחשב המהווה יעד ולאחר מכן לחץ על הבא. מתבצעת בדיקת אימות. לאחר שהסתיימה, פרטי התבנית מופיעים. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקש לבחור את תצורת המשאב בדף תצורה , לחץ על CPU 4 ולאחר מכן לחץ על הבא. |
8 |
בדף בחר אחסון , לחץ על הבא כדי לקבל את תבנית הדיסק ומדיניות האחסון של VM המוגדרת כברירת מחדל. |
9 |
בדף בחר רשתות , בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה ל-VM. |
10 |
בדף התאם אישית תבנית , קבע את התצורה של הגדרות הרשת הבאות:
אם אתה מעדיף, תוכל לדלג על תצורת הגדרת הרשת ולבצע את השלבים בהגדרת ה-VM של אבטחת הנתונים ההיברידיים כדי לקבוע את תצורת ההגדרות ממסוף הצומת. האפשרות לקבוע תצורה של הגדרות רשת במהלך פריסת OVA נבדקה עם ESXi 7.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על ה-VM של צומת ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידיים מותקנת כאורח במארח VM. כעת אתה מוכן להיכנס למסוף ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתחווה עיכוב של כמה דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה במסוף במהלך האתחול הראשון, שבמהלכה אין באפשרותך להיכנס. |
הגדרת ה-VM של אבטחת נתונים היברידיים
השתמש בנוהל זה כדי להיכנס בפעם הראשונה למסוף ה-VM של צומת אבטחת הנתונים ההיברידיים ולהגדיר את אישורי הכניסה. ניתן גם להשתמש במסוף כדי לקבוע את תצורת הגדרות הרשת עבור הצומת אם לא הגדרת אותם בזמן פריסת OVA.
1 |
בלקוח vSphere של VMware, בחר את ה-VM של צומת אבטחת הנתונים ההיברידיים ובחר בלשונית מסוף . ה-VM מאותחל ותופיע הנחיית כניסה. אם לא מוצגת בקשת ההתחברות, הקש Enter.
|
2 |
השתמש בכניסה וסיסמה המוגדרים הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את האישורים: מכיוון שאתה נכנס ל-VM שלך בפעם הראשונה, אתה נדרש לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר הגדרת את הגדרות הרשת בהתקן את HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר את האפשרות ערוך תצורה . |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכים להיות כתובת IP ושם DNS פנימיים. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי NTP, אם יש צורך בכך כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כדי להתאים לדומיין שבו השתמשת כדי לקבל את תעודת X.509. |
6 |
שמור את תצורת הרשת ואתחל את ה-VM כך שהשינויים ייכנסו לתוקף. |
העלה והתקן את ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מחזיק במפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה על ידי ה-VMs של אבטחת הנתונים ההיברידיים וכל מנהל מערכת שאולי יצטרך לבצע שינויים. ודא שרק מנהלי מערכת אלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב: |
2 |
התקן את קובץ ה- ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת, באפשרותך לבטל את העגינה של קובץ ה-ISO באופן אופציונלי לאחר שכל הצמתים שלך יאספו את שינויי התצורה. לפרטים, ראה (אופציונלי) ביטול העגינה של ISO לאחר תצורת HDS .
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה-URL של הגדרת צומת HDS |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יתפקד במצב רזולוציית DNS חיצונית חסומה. אם אתה חושב שזו שגיאה, השלם את השלבים הבאים ולאחר מכן ראה כבה מצב זיהוי DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כאשר אתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסו כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש כרטיס אבטחת נתונים היברידיים ולחץ על הגדר. |
4 |
בדף שנפתח, לחץ על הוסף משאב. |
5 |
בשדה הראשון של כרטיס הוסף צומת , הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידיים שלך. מומלץ לתת שם לאשכול בהתבסס על המיקום הגיאוגרפי של הצמתים של האשכול. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN צריכה להיות תואמת לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת בהגדרת ה-VM של אבטחת הנתונים ההיברידיים. מופיעה הודעה המציינת שניתן לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר כמה דקות, אתה מנותב מחדש לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות מוצלחות, יופיע הדף 'אפשר גישה אל צומת אבטחת נתונים היברידיים'. שם, אתה מאשר שברצונך להעניק לארגון Webex שלך הרשאות לגשת לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידיים שלך ולאחר מכן לחץ על המשך. החשבון שלך מאומת וההודעה "רישום הושלם" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הלשונית כדי לחזור לדף אבטחת הנתונים ההיברידיים של מרכז השותפים. בדף אבטחת נתונים היברידיים , האשכול החדש המכיל את הצומת שרשמת מוצג תחת הלשונית משאבים . הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחיל לרשום צומת, עליך להשלים אותו תוך 60 דקות או שתצטרך להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריגה עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מ-OVA, וחזור על השלבים בהתקן את OVA Host HDS. |
2 |
הגדר את התצורה הראשונית ב-VM החדש, וחזור על השלבים ב-הגדר את ה-VM של אבטחת הנתונים ההיברידיים. |
3 |
ב-VM החדש, חזור על השלבים בהעלה והתקן את ה-ISO של תצורת HDS. |
4 |
אם אתה מגדיר Proxy עבור הפריסה שלך, חזור על השלבים בקבע את התצורה של צומת HDS עבור שילוב Proxy לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
נהל ארגוני דייר באבטחת נתונים היברידיים של ריבוי דיירים
הפעל HDS של ריבוי דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים של ארגוני הלקוחות יוכלו להתחיל למנף HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול HDS של ריבוי דיירים עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס מצב HDS . |
הוסף ארגוני דייר במרכז השותפים
במשימה זו, אתה מקצה ארגוני לקוח לאשכול אבטחת הנתונים ההיברידיים שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך שיוקצה לקוח. |
5 |
עבור ללשונית לקוחות מוקצים . |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף לקוחות מרובים לאשכול שלך. |
10 |
לחץ על סיום בחלק התחתון של המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מקשים ראשיים של לקוח (CMKs) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כפי שמפורט תחת הוסף ארגוני דייר במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות החדשים שנוספו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
ברגע שיצירת CMK תצליח, המצב בטבלה ישתנה מניהול CMK בהמתנה לCMK מנוהל. |
13 |
אם יצירת CMK לא הצליחה, תוצג שגיאה. |
הסר ארגוני דייר
לפני שתתחיל
לאחר ההסרה, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, פנה לשותף או למנהל החשבון של Cisco.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש 'אבטחת נתונים היברידיים' ולחץ על הצג הכל. |
4 |
בלשונית משאבים , לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחץ על לקוחות מוקצים. |
6 |
מרשימת ארגוני הלקוח המוצגים, לחץ על ... בצד ימין של ארגון הלקוח שברצונך להסיר ולחץ על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על-ידי ביטול ה-CMKs של ארגוני הלקוח כמפורט בביטול CMKs של דיירים שהוסרו מ-HDS.
בטל CMKs של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט בסעיף הסר ארגוני דייר. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון מרכז השותפים עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההגדרה לא תומך בהתחברות אל localhost דרך http://localhost:8080. השתמש http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לעבור אל ה-localhost, הכלי משתמש ברשומה הראשונה הזו של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את הנחיית הכניסה הסטנדרטית. |
7 |
כשתתבקש, הזן את אישורי הכניסה של מנהל המערכת של מרכז השותפים שלך, ולאחר מכן לחץ על היכנס כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידיים. |
8 |
בדף הסקירה הכוללת של כלי ההגדרה, לחץ על תחילת העבודה. |
9 |
בדף ייבוא ISO , לחץ על כן. |
10 |
בחר את קובץ ה-ISO בדפדפן והעלה אותו. |
11 |
עבור אל הלשונית ניהול CMK של דייר , שם תמצא את שלוש הדרכים הבאות לניהול CMK של דייר.
|
12 |
לאחר ביטול CMK יצליח, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא הצליח, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
בדוק את פריסת אבטחת הנתונים ההיברידיים שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידיים שלך עם ריבוי דיירים.
-
ודא שיש לך גישה ל- syslog כדי לאמת שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים של ריבוי דיירים.
1 |
מקשים עבור מרחב נתון מוגדרים על-ידי יוצר המרחב. היכנס ליישום Webex כאחד ממשתמשי ארגון הלקוח, ולאחר מכן צור מרחב. אם תשבית את פריסת אבטחת הנתונים ההיברידיים, התוכן במרחבים שמשתמשים יוצרים אינו נגיש עוד לאחר החלפת העותקים המאוחסנים במטמון הלקוח של מפתחות ההצפנה. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידיים שלך. |
ניטור תקינות אבטחת נתונים היברידיים
1 |
במרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על ערוך הגדרות. הדף 'הגדרות אבטחת נתונים היברידיים' מופיע.
|
3 |
בקטע 'התראות דוא"ל', הקלד כתובת דוא"ל אחת או יותר המופרדות באמצעות פסיקים ולחץ על Enter. |
נהל את פריסת HDS שלך
נהל פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידיים שלך.
הגדר לוח זמנים לשדרוג אשכול
כדי להגדיר את לוח הזמנים לשדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע 'שירותי ענן', חפש אבטחת נתונים היברידיים ולחץ על הגדר |
4 |
בדף 'משאבי אבטחת נתונים היברידיים', בחר את האשכול. |
5 |
לחץ על הלשונית הגדרות אשכול . |
6 |
בדף 'הגדרות אשכול', תחת 'לוח זמנים לשדרוג', בחר את השעה ואזור הזמן עבור לוח הזמנים לשדרוג. הערות תחת אזור הזמן, תאריך ושעה השדרוג הזמינים הבאים מוצגים. באפשרותך לדחות את השדרוג ליום הבא, במידת הצורך, על-ידי לחיצה על דחה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס מהיר – שתי הסיסמאות הישנות והחדשות פועלות למשך עד 10 יום. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח – הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההגדרה דורש את האישורים של חשבון Partner Hub עם זכויות מנהל מערכת מלא של שותף.
אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS עבור שלבים 1.a עד 1.e בהליך שלהלן. לפרטים, ראה הפעל כלי הגדרת HDS באמצעות Podman Desktop .
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת הצגת מיכל Docker ב-1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS פועל, צור VM חדש של צומת אבטחת נתונים היברידיים ורשום אותו באמצעות קובץ ISO של התצורה החדשה. לקבלת הוראות מפורטות יותר, ראה צור ורשום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסר צומת
1 |
השתמש בלקוח vSphere של VMware במחשב שלך כדי להתחבר אל המארח הווירטואלי ESXi ולכבות את המחשב הווירטואלי. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את ה-VM. (בחלונית הניווט השמאלית, לחץ לחיצה ימנית על ה-VM ולחץ על מחק.) אם לא תמחק את ה-VM, זכור לבטל את ההתקנה של קובץ ה-ISO של התצורה. ללא קובץ ISO, לא ניתן להשתמש ב-VM כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות Standby Data Center
השירות הקריטי ביותר שאשכול אבטחת הנתונים ההיברידיים מספק הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידיים, בקשות יצירת מפתח חדשות מנותבות אל האשכול. האשכול אחראי גם להחזרת המפתחות שהוא נוצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חשוב שהאשכול ימשיך לפעול ושהגיבויים הנכונים יישמרו. אובדן מסד הנתונים של אבטחת הנתונים ההיברידיים או של תצורת ISO המשמשת לסכמה יגרום לאובדן לא ניתן לשחזור של תוכן הלקוח. הפעולות הבאות הן הכרחיות למניעת אובדן כזה:
אם אסון גורם לפריסת HDS במרכז הנתונים הראשי להיות לא זמינה, בצע הליך זה כדי יתירות כשל ידנית למרכז הנתונים במצב המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ובצע את השלבים המוזכרים בצור תצורה ISO עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור על עותק הגיבוי מאובטח. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל גישה רק למנהלי אבטחת נתונים היברידיים האלה שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >כונן CD/DVD 1 ובחר קובץ ISO של מאגר נתונים. ודא שמחובר והתחבר במצב מופעל מסומנים כך ששינויים מעודכנים בתצורה ייכנסו לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת HDS וודא שאין התראות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. ראה רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים במצב המתנה. |
מה הלאה?
(אופציונלי) ביטול הרכבה של ISO לאחר תצורת HDS
תצורת HDS הסטנדרטית פועלת עם ISO טעונה. עם זאת, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO טעונים באופן רציף. ניתן לבטל את העגינה של קובץ ה-ISO לאחר שכל צומתי HDS יתפסו את התצורה החדשה.
אתה עדיין משתמש בקובצי ISO כדי לבצע שינויי תצורה. בעת יצירת ISO חדש או עדכון ISO באמצעות כלי ההגדרה, עליך להתקין את ISO המעודכן בכל צמתי HDS שלך. לאחר שכל הצמתים שלך אישרו את שינויי התצורה, תוכל לבטל את העגינה של ה-ISO שוב באמצעות הליך זה.
לפני שתתחיל
שדרג את כל צומתי HDS שלך לגרסה 2021.01.22.4720 ואילך.
1 |
כבה אחד מצומתי HDS שלך. |
2 |
במכשיר שרת vCenter, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר הנתונים. ובטל את הסימון של |
4 |
הפעל את צומת HDS וודא שאין התראות למשך 20 דקות לפחות. |
5 |
חזור עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידיים
הצג התראות ופתרון בעיות
פריסת אבטחת נתונים היברידיים נחשבת כלא זמינה אם כל הצמתים באשכול אינם נגישים, או שהאשכול פועל לאט כל כך שהוא מבקש פסק זמן. אם המשתמשים לא יכולים לגשת לאשכול אבטחת הנתונים ההיברידיים שלך, הם יחוו את התסמינים הבאים:
-
לא ניתן ליצור מרחבים חדשים (לא ניתן ליצור מפתחות חדשים)
-
פענוח הודעות וכותרות מרחב נכשל עבור:
-
משתמשים חדשים נוספו למרחב (לא ניתן להשיג מפתחות)
-
משתמשים קיימים במרחב משתמשים בלקוח חדש (לא ניתן להשיג מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידיים שלך ותתמודד עם כל התראות באופן מיידי כדי למנוע הפרעה לשירות.
התראות
אם קיימת בעיה בהגדרת אבטחת הנתונים ההיברידיים, מרכז השותפים מציג התראות למנהל המערכת של הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל המוגדרת. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות מסד נתונים או בעיות רשת מקומית. |
כשל בחיבור למסד הנתונים המקומי. |
בדוק ששרת מסד הנתונים זמין, ואישורי חשבון השירות הנכונים שימשו בתצורת הצומת. |
כשל בגישה לשירות הענן. |
בדוק שהצמתים יכולים לגשת לשרתי Webex כפי שצוין בדרישות קישוריות חיצונית. |
חידוש הרישום של שירות הענן. |
הרישום לשירותי הענן בוטל. חידוש הרישום מתבצע. |
רישום שירות הענן בוטל. |
הרישום לשירותי הענן הופסק. השירות נסגר. |
השירות עדיין לא הופעל. |
הפעל HDS במרכז השותפים. |
הדומיין שהוגדר לא תואם לאישור השרת. |
ודא שתעודת השרת שלך תואמת לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שה-CN של התעודה שונתה לאחרונה וכעת היא שונה מה-CN שהיה בשימוש במהלך ההגדרה הראשונית. |
האימות לשירותי הענן נכשל. |
בדוק את הדיוק ואת התפוגה האפשרית של פרטי הכניסה של חשבון השירות. |
פתיחת קובץ חנות מקשים מקומית נכשלה. |
בדוק תקינות ודיוק סיסמה בקובץ Keystore מקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של תעודת השרת ואשר שהוא הונפק על-ידי רשות אישורים (Certificate Authority) אמינה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds directory לא קיים. |
בדוק את תצורת התקנת ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר להתקנה בעת אתחול ושהוא מתרכב בהצלחה. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שנוספו |
השלם את ההגדרה על-ידי יצירת רכיבי CMK עבור ארגוני דייר חדשים שנוספו באמצעות כלי הגדרת HDS. |
הגדרת ארגון דייר לא הושלמה עבור הארגונים שהוסרו |
השלם את ההגדרה על-ידי ביטול רכיבי CMK של ארגוני דייר שהוסרו באמצעות כלי הגדרת HDS. |
פתרון בעיות אבטחת נתונים היברידיים
1 |
סקור את מרכז השותפים עבור כל התראות ותקן כל פריט שתמצא שם. עיין בתמונה שלהלן לעיון. |
2 |
סקור את פלט שרת syslog עבור פעילות מפריסת אבטחת הנתונים ההיברידיים. סנן עבור מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
פנה אל התמיכה של Cisco. |
הערות אחרות
בעיות מוכרות עבור אבטחת נתונים היברידיים
-
אם תכבה את אשכול אבטחת הנתונים ההיברידיים שלך (על-ידי מחיקתו ב-Partner Hub או על-ידי כיבוי כל הצמתים), תאבד את קובץ ה-ISO של התצורה או תאבד גישה למסד הנתונים של חנות המפתחות, משתמשי יישום Webex של ארגוני לקוחות לא יוכלו עוד להשתמש במרחבים תחת רשימת האנשים שלהם שנוצרו עם מפתחות מה-KMS שלך. אין לנו כרגע דרך לעקיפת הבעיה הזו או תיקון והיא מפצירה בך לא להשבית את שירותי ה-HDS שלך ברגע שהם מטפלים בחשבונות משתמש פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן (ככל הנראה שעה אחת).
הפעל כלי הגדרת HDS באמצעות Podman Desktop
פודמן הוא כלי ניהול מכולות חינמי בקוד פתוח המספק דרך להפעיל, לנהל וליצור מכולות. ניתן להוריד את שולחן העבודה של Podman מ-https://podman-desktop.io/downloads.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הורד והפעל את Podman במחשב הזה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי Proxy בסביבה שלך, ספק את הגדרות ה-Proxy (שרת, יציאה, אישורים) באמצעות משתני הסביבה של Docker בעת העלאת מיכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שתבצע שינויי תצורה, כגון:
-
אישורי מסד נתונים
-
עדכוני תעודה
-
שינויים במדיניות ההרשאה
-
-
אם בכוונתך להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server עבור TLS.
תהליך הגדרת אבטחת הנתונים ההיברידיים יוצר קובץ ISO. לאחר מכן השתמש ב-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידיים שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
מה הלאה?
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ ה-PKCS12 בתבנית הנכונה לטעינה בכלי הגדרת HDS. יש דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם תבחר להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיות שיסייעו לך ליצור קובץ שעומד בדרישות האישור X.509 תחת דרישות אישור X.509. יש להבין את הדרישות האלה לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר אתה מקבל את תעודת השרת מה-CA שלך, שמור אותה כ- |
2 |
הצג את התעודה כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת תעודה בשם
|
4 |
צור את קובץ .p12 עם השם הידידותי
|
5 |
בדוק את פרטי תעודת השרת. |
מה הלאה?
חזור אל השלם את התנאים המוקדמים עבור אבטחת נתונים היברידיים. תשתמש בקובץ hdsnode.p12
ובסיסמה שהגדרת עבורו ב-צור תצורת ISO עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים האלה כדי לבקש תעודה חדשה כאשר פג התוקף של התעודה המקורית.
תעבורה בין צמתי HDS לענן
תעבורת איסוף מדדים יוצאים
צומתי אבטחת הנתונים ההיברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת שרשורים; מדדים על שרשורים סינכרוניים ואסינכרוניים; מדדים על התראות הכוללות סף של חיבורי הצפנה, השהיה או אורך תור בקשה; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן בערוץ 'מחוץ לפס' (נפרד מהבקשה).
תנועה נכנסת
צומתי אבטחת הנתונים ההיברידיים מקבלים את הסוגים הבאים של תעבורה נכנסת מענן Webex:
-
בקשות הצפנה מלקוחות, מנותבות על-ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת תצורת שרתי Squid עבור אבטחת נתונים היברידיים
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתי Squid שבודקים תעבורת HTTPS יכולים להפריע ליצירת חיבורים websocket (wss:
) שאבטחת נתונים היברידיים דורשת. סעיפים אלה נותנים הנחיות כיצד להגדיר גרסאות שונות של Squid כדי להתעלם wss:
מתעבורה לתפעול תקין של השירותים.
דיונון 4 ו-5
הוסף את on_unsupported_protocol
ההנחיה אל squid.conf
:
on_unsupported_protocol tunnel all
דיונון 3.5.27
בדקנו בהצלחה את אבטחת נתונים היברידיים כאשר הכללים הבאים נוספו ל-squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
מידע חדש ומשונה
מידע חדש ומשונה
טבלה זו מכסה תכונות או פונקציונליות חדשות, שינויים בתוכן קיים וכל שגיאה משמעותית שתוקנה במדריך הפריסה לאבטחת נתונים היברידית מרובת דיירים.
תאריך |
שינויים שבוצעו |
---|---|
8 במאי, 2025 |
|
4 במרץ, 2025 |
|
30 בינואר, 2025 |
נוספה גרסת 2022 של SQL Server לרשימת שרתי SQL הנתמכים ב- דרישות שרת מסד נתונים. |
15 בינואר, 2025 |
נוספו מגבלות של אבטחת נתונים היברידית מרובת דיירים. |
8 בינואר 2025 |
נוספה הערה ב- בצע הגדרה ראשונית והורד קבצי התקנה המציינת כי לחיצה על הגדרה בכרטיס HDS במרכז השותפים היא שלב חשוב בתהליך ההתקנה. |
7 בינואר 2025 |
עודכנו דרישות למארח וירטואלי, זרימת משימות פריסת אבטחת נתונים היברידית, ו התקנת ה-HDS Host OVA כדי להציג את הדרישה החדשה של ESXi 7.0. |
13 בדצמבר, 2024 |
פורסם לראשונה. |
בטל אבטחת נתונים היברידית מרובת דיירים
זרימת משימות ביטול הפעלה של HDS מרובה דיירים
בצע את השלבים הבאים כדי להשבית לחלוטין HDS רב-דיירים.
לפני שתתחיל
1 |
הסר את כל הלקוחות מכל האשכולות שלך, כפי שצוין ב- הסרת ארגוני דיירים. |
2 |
בטל את רישומי ה-CMK של כל הלקוחות, כפי שצוין ב- בטל רישומי CMK של דיירים שהוסרו מ-HDS.. |
3 |
הסר את כל הצמתים מכל האשכולות שלך, כפי שצוין ב- הסרת צומת. |
4 |
מחק את כל האשכולות שלך ממרכז השותפים באמצעות אחת משתי השיטות הבאות.
|
5 |
לחץ על הכרטיסייה הגדרות בדף הסקירה הכללית של אבטחת נתונים היברידית ולחץ על בטל HDS בכרטיס סטטוס HDS. |
התחל עם אבטחת נתונים היברידית מרובת דיירים
סקירה כללית של אבטחת נתונים היברידית מרובת דיירים
מהיום הראשון, אבטחת נתונים הייתה המוקד העיקרי בעיצוב אפליקציית Webex. אבן הפינה של אבטחה זו היא הצפנת תוכן מקצה לקצה, המופעלת על ידי לקוחות אפליקציית Webex המקיימים אינטראקציה עם שירות ניהול המפתחות (KMS). ה- KMS אחראי על יצירה וניהול של מפתחות ההצפנה שבהם משתמשים הלקוחות כדי להצפין ולפענח באופן דינמי הודעות וקבצים.
כברירת מחדל, כל לקוחות אפליקציית Webex מקבלים הצפנה מקצה לקצה עם מפתחות דינמיים המאוחסנים במערכת ניהול ה-KMS בענן, בתחום האבטחה של סיסקו. אבטחת נתונים היברידית מעבירה את ה-KMS ופונקציות אחרות הקשורות לאבטחה למרכז הנתונים הארגוני שלך, כך שאף אחד מלבדך לא מחזיק במפתחות לתוכן המוצפן שלך.
אבטחת נתונים היברידית מרובת דיירים מאפשרת לארגונים למנף את HDS באמצעות שותף מקומי מהימן, שיכול לשמש כספק שירות ולנהל הצפנה מקומית ושירותי אבטחה אחרים. הגדרה זו מאפשרת לארגון השותף שליטה מלאה על פריסה וניהול של מפתחות הצפנה ומבטיחה שנתוני המשתמשים של ארגוני הלקוחות מוגנים מפני גישה חיצונית. ארגוני שותפים מקימים מופעי HDS ויוצרים אשכולות HDS לפי הצורך. כל מופע יכול לתמוך במספר ארגוני לקוחות בניגוד לפריסת HDS רגילה המוגבלת לארגון יחיד.
זה גם מאפשר לארגונים קטנים יותר למנף את HDS, מכיוון ששירותי ניהול מפתחות ותשתיות אבטחה כמו מרכזי נתונים נמצאים בבעלות שותף מקומי מהימן.
כיצד אבטחת נתונים היברידית מרובת דיירים מספקת ריבונות נתונים ובקרת נתונים
- תוכן שנוצר על ידי משתמשים מוגן מפני גישה חיצונית, כמו ספקי שירותי ענן.
- שותפים מקומיים מהימנים מנהלים את מפתחות ההצפנה של לקוחות שכבר יש להם איתם מערכת יחסים מבוססת.
- אפשרות לתמיכה טכנית מקומית, אם תסופק על ידי השותף.
- תומך בתוכן של פגישות, הודעות ושיחות.
מסמך זה נועד לסייע לארגוני שותפים להקים ולנהל לקוחות במסגרת מערכת אבטחת נתונים היברידית מרובת דיירים.
מגבלות של אבטחת נתונים היברידית מרובת דיירים
- ארגוני שותפים אינם יכולים להפעיל פריסת HDS קיימת במרכז הבקרה.
- ארגוני דיירים או לקוחות המעוניינים להיות מנוהלים על ידי שותף אינם חייבים להיות בעלי פריסת HDS קיימת ב-Control Hub.
- לאחר פריסת Multi-Tenant HDS על ידי השותף, כל המשתמשים בארגוני הלקוחות וכן משתמשים בארגון השותף מתחילים למנף Multi-Tenant HDS עבור שירותי ההצפנה שלהם.
ארגון השותף וארגוני הלקוחות שהם מנהלים יהיו באותה פריסת HDS מרובת דיירים.
ארגון השותף לא ישתמש עוד ב-KMS בענן לאחר פריסת HDS רב-דיירים.
- אין מנגנון להעברת מפתחות חזרה ל-Cloud KMS לאחר פריסת HDS.
- נכון לעכשיו, כל פריסת HDS מרובת דיירים יכולה לכלול רק אשכול אחד, עם מספר צמתים תחתיה.
- לתפקידי מנהל יש מגבלות מסוימות; עיין בסעיף להלן לקבלת פרטים.
תפקידים באבטחת נתונים היברידית מרובת דיירים
- מנהל שותף מלא - יכול לנהל הגדרות עבור כל הלקוחות שהשותף מנהל. הוא יכול גם להקצות תפקידי מנהל מערכת למשתמשים קיימים בארגון ולהקצות לקוחות ספציפיים לניהול על ידי מנהלי המערכת של שותף.
- מנהל שותף - יכול לנהל הגדרות עבור לקוחות שהמנהל הקצה או שהוקצו למשתמש.
- מנהל מלא - מנהל של ארגון השותף המורשה לבצע משימות כגון שינוי הגדרות הארגון, ניהול רישיונות והקצאת תפקידים.
- הגדרה וניהול של HDS רב-דיירים מקצה לקצה של כל ארגוני הלקוחות - נדרשות הרשאות מנהל מלאות של השותף והרשאות מנהל מלאות.
- ניהול ארגוני דיירים שהוקצו - נדרשות הרשאות מנהל שותף ומנהל מלא.
ארכיטקטורת תחום האבטחה
ארכיטקטורת הענן של Webex מפרידה סוגים שונים של שירותים לתחומים נפרדים, או תחומי אמון, כפי שמתואר להלן.

כדי להבין טוב יותר את נושא אבטחת המידע ההיברידית, בואו נבחן תחילה את מקרה הענן הטהור הזה, שבו סיסקו מספקת את כל הפונקציות בתחומי הענן שלה. שירות הזהות, המקום היחיד שבו משתמשים יכולים להיות מקושרים ישירות עם המידע האישי שלהם, כגון כתובת דוא"ל, נפרד מבחינה לוגית ופיזית מתחום האבטחה במרכז נתונים B. שניהם בתורם נפרדים מהתחום שבו מאוחסן בסופו של דבר תוכן מוצפן, במרכז נתונים C.
בדיאגרמה זו, הלקוח הוא אפליקציית Webex הפועלת במחשב נייד של המשתמש, ואימותו נעשה באמצעות שירות הזהויות. כאשר המשתמש כותב הודעה לשליחה לחלל, מתבצעים השלבים הבאים:
-
הלקוח יוצר חיבור מאובטח עם שירות ניהול המפתחות (KMS), ולאחר מכן מבקש מפתח להצפנת ההודעה. החיבור המאובטח משתמש ב-ECDH, ומערכת ה-KMS מצפינה את המפתח באמצעות מפתח ראשי AES-256.
-
ההודעה מוצפנת לפני שהיא עוזבת את הלקוח. הלקוח שולח אותו לשירות האינדוקס, אשר יוצר אינדקסי חיפוש מוצפנים כדי לסייע בחיפושים עתידיים אחר התוכן.
-
ההודעה המוצפנת נשלחת לשירות התאימות לצורך בדיקות תאימות.
-
ההודעה המוצפנת מאוחסנת בתחום האחסון.
בעת פריסת אבטחת נתונים היברידית, מעבירים את פונקציות תחום האבטחה (KMS, אינדוקס ותאימות) למרכז הנתונים המקומי שלכם. שירותי הענן האחרים המרכיבים את Webex (כולל אחסון זהויות ותוכן) נשארים בתחום אחריותה של סיסקו.
שיתוף פעולה עם ארגונים אחרים
משתמשים בארגון שלך עשויים להשתמש באופן קבוע באפליקציית Webex כדי לשתף פעולה עם משתתפים חיצוניים בארגונים אחרים. כאשר אחד המשתמשים שלכם מבקש מפתח עבור מרחב שבבעלות הארגון שלכם (מכיוון שהוא נוצר על ידי אחד המשתמשים שלכם), מערכת ה-KMS שלכם שולחת את המפתח ללקוח דרך ערוץ מאובטח של ECDH. עם זאת, כאשר ארגון אחר מחזיק בבעלותו את המפתח למרחב, מערכת ה-KMS שלך מנתבת את הבקשה לענן Webex דרך ערוץ ECDH נפרד כדי לקבל את המפתח ממערכת ה-KMS המתאימה, ולאחר מכן מחזירה את המפתח למשתמש שלך בערוץ המקורי.

שירות ה-KMS הפועל בארגון A מאמת את החיבורים למערכות KMS בארגונים אחרים באמצעות אישורי x.509 PKI. ראה הכן את הסביבה שלך לקבלת פרטים על יצירת אישור x.509 לשימוש עם פריסת אבטחת נתונים היברידית מרובת דיירים שלך.
ציפיות לפריסת אבטחת נתונים היברידית
פריסת אבטחת נתונים היברידית דורשת מחויבות משמעותית ומודעות לסיכונים הכרוכים בבעלות על מפתחות הצפנה.
כדי לפרוס אבטחת נתונים היברידית, עליך לספק:
-
מרכז נתונים מאובטח במדינה שהיא מיקום נתמך עבור תוכניות Cisco Webex Teams.
-
הציוד, התוכנה וגישת הרשת המתוארים ב- הכן את הסביבה שלך.
אובדן מוחלט של קובץ ה-ISO של התצורה שבנית עבור אבטחת נתונים היברידית או של מסד הנתונים שאתה מספק יגרום לאובדן המפתחות. אובדן מפתח מונע ממשתמשים לפענח תוכן מרחב ונתונים מוצפנים אחרים באפליקציית Webex. אם זה קורה, תוכל לבנות פריסה חדשה, אך רק תוכן חדש יהיה גלוי. כדי למנוע אובדן גישה לנתונים, עליך:
-
ניהול הגיבוי והשחזור של מסד הנתונים וקובץ ה-ISO של התצורה.
-
היו מוכנים לבצע התאוששות מהירה מאסון אם מתרחשת אסון, כגון כשל בדיסק מסד נתונים או אסון במרכז נתונים.
אין מנגנון להעברת מפתחות חזרה לענן לאחר פריסת HDS.
תהליך הגדרה ברמה גבוהה
מסמך זה מכסה את ההתקנה והניהול של פריסת אבטחת נתונים היברידית מרובת דיירים:
-
הגדרת אבטחת נתונים היברידית- זה כולל הכנת התשתית הנדרשת והתקנת תוכנת אבטחת נתונים היברידית, בניית אשכול HDS, הוספת ארגוני דיירים לאשכול וניהול מפתחות הלקוח הראשיים (CMKs) שלהם. זה יאפשר לכל המשתמשים בארגוני הלקוחות שלך להשתמש באשכול אבטחת הנתונים ההיברידי שלך עבור פונקציות אבטחה.
שלבי ההתקנה, ההפעלה והניהול מכוסים בפירוט בשלושת הפרקים הבאים.
-
שמור על פריסת אבטחת הנתונים ההיברידית שלך— ענן Webex מספק באופן אוטומטי שדרוגים שוטפים. מחלקת ה-IT שלך יכולה לספק תמיכה ברמה הראשונה עבור פריסה זו, ולצרף את תמיכת סיסקו לפי הצורך. ניתן להשתמש בהתראות על המסך ולהגדיר התראות מבוססות דוא"ל במרכז השותפים.
-
הבנת התראות נפוצות, שלבי פתרון בעיות ובעיות ידועות— אם נתקלת בבעיות בפריסה או בשימוש באבטחת נתונים היברידית, הפרק האחרון של מדריך זה והנספח לבעיות ידועות עשויים לעזור לך לקבוע ולתקן את הבעיה.
מודל פריסת אבטחת נתונים היברידי
בתוך מרכז הנתונים הארגוני שלך, אתה פורס אבטחת נתונים היברידית כאשכול יחיד של צמתים על גבי מחשבים מארחים וירטואליים נפרדים. הצמתים מתקשרים עם ענן Webex דרך Websockets מאובטחים ו-HTTP מאובטח.
במהלך תהליך ההתקנה, אנו מספקים לכם את קובץ ה-OVA כדי להגדיר את ההתקן הווירטואלי על המכונות הווירטואליות שאתם מספקים. אתה משתמש בכלי הגדרת HDS כדי ליצור קובץ ISO מותאם אישית של תצורת אשכול שאתה מרכיב על כל צומת. אשכול אבטחת הנתונים ההיברידי משתמש בשרת Syslogd שסיפקת ובמסד הנתונים PostgreSQL או Microsoft SQL Server. (ניתן להגדיר את פרטי החיבור של Syslogd ומסד הנתונים בכלי ההתקנה של HDS.)

המספר המינימלי של צמתים שיכולים להיות באשכול הוא שניים. אנו ממליצים על לפחות שלושה לכל אשכול. ריבוי צמתים מבטיח שהשירות לא יופרע במהלך שדרוג תוכנה או פעילות תחזוקה אחרת בצומת. (ענן Webex משדרג רק צומת אחד בכל פעם.)
כל הצמתים באשכול ניגשים לאותו מאגר נתוני מפתח, ורושמים פעילות לאותו שרת syslog. הצמתים עצמם הם חסרי מצב, ומטפלים בבקשות מפתח בצורה של סבב-רובין, בהתאם להוראות הענן.
צמתים הופכים לפעילים בעת רישום שלהם במרכז השותפים. כדי להוציא צומת בודד משירות, ניתן לבטל את רישומו, ומאוחר יותר לרשום אותו מחדש במידת הצורך.
מרכז נתונים המתנה להתאוששות מאסון
במהלך הפריסה, עליך להגדיר מרכז נתונים מאובטח במצב המתנה. במקרה של אסון במרכז נתונים, ניתן להעביר ידנית את הפריסה למרכז הנתונים הנוכחי.

מסדי הנתונים של מרכזי הנתונים הפעילים והמתנה מסונכרנים זה עם זה, מה שיקצר את הזמן שלוקח לבצע את המעבר לגיבוי.
צמתי אבטחת הנתונים ההיברידיים הפעילים חייבים להיות תמיד באותו מרכז נתונים כמו שרת מסד הנתונים הפעיל.
תמיכה בפרוקסי
אבטחת נתונים היברידית תומכת בבדיקות מפורשות ושקופות ובפרוקסי שאינם בודקים. באפשרותך לקשור פרוקסי אלה לפריסה שלך כדי שתוכל לאבטח ולנטר את התעבורה מהארגון אל הענן. באפשרותך להשתמש בממשק ניהול פלטפורמה בצמתים לצורך ניהול אישורים ולבדוק את מצב הקישוריות הכולל לאחר הגדרת ה- proxy בצמתים.
צמתי אבטחת הנתונים ההיברידיים תומכים באפשרויות הפרוקסי הבאות:
-
ללא פרוקסי- ברירת המחדל אם אינך משתמש בהגדרת צומת HDS Trust Store & תצורת פרוקסי לשילוב פרוקסי. אין צורך בעדכון אישורים.
-
פרוקסי שקוף שאינו בודק— הצמתים אינם מוגדרים להשתמש בכתובת שרת פרוקסי ספציפית ולא אמורים לדרוש שינויים כלשהם כדי לעבוד עם פרוקסי שאינו בודק. אין צורך בעדכון אישורים.
-
מנהור שקוף או בדיקת פרוקסי- הצמתים אינם מוגדרים לשימוש בכתובת שרת פרוקסי ספציפית. אין צורך בשינויי תצורה של HTTP או HTTPS בצמתים. עם זאת, הצמתים זקוקים לאישור בסיס כדי שהם יסמכו על ה- proxy. בדיקת פרוקסי משמשת בדרך כלל את ה- IT לאכיפת מדיניות שבה ניתן לבקר באתרי אינטרנט ואילו סוגי תוכן אינם מותרים. סוג זה של פרוקסי מפענח את כל התעבורה שלך (אפילו HTTPS).
-
פרוקסי מפורש- בעזרת פרוקסי מפורש, אתה אומר לצמתי ה-HDS באיזה שרת פרוקסי וסכימת אימות להשתמש. כדי לקבוע את התצורה של proxy מפורש, עליך להזין את המידע הבא בכל צומת:
-
פרוקסי IP/FQDN—כתובת שניתן להשתמש בה כדי להגיע למכונת הפרוקסי.
-
יציאת פרוקסי— מספר יציאה שהפרוקסי משתמש בה כדי להאזין לתעבורת פרוקסי.
-
פרוטוקול פרוקסי— בהתאם לתמיכה של שרת הפרוקסי שלך, בחר בין הפרוטוקולים הבאים:
-
HTTP - מציג ושולט בכל הבקשות שהלקוח שולח.
-
HTTPS — מספק ערוץ לשרת. הלקוח מקבל ומאמת את אישור השרת ומאמת אותו.
-
-
סוג אימות— בחר מבין סוגי האימות הבאים:
-
אין— אין צורך באימות נוסף.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
-
בסיסי—משמש סוכן משתמש HTTP למתן שם משתמש וסיסמה בעת הגשת בקשה. משתמש בקידוד Base64.
זמין אם תבחר HTTP או HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
תקציר—משמש לאישור החשבון לפני שליחת מידע רגיש. מחיל פונקציית גיבוב על שם המשתמש והסיסמה לפני שליחת הרשת.
זמין רק אם תבחר HTTPS כפרוטוקול ה- Proxy.
דורש ממך להזין את שם המשתמש והסיסמה בכל צומת.
-
-
דוגמה לצמתים היברידיים לאבטחת נתונים ופרוקסי
דיאגרמה זו מציגה חיבור לדוגמה בין אבטחת נתונים היברידית, רשת ו- Proxy. עבור אפשרויות הבדיקה השקופה ואפשרויות הבדיקה המפורשת של HTTPS, יש להתקין את אותו אישור בסיס ב- Proxy ובצמתי אבטחת הנתונים ההיברידיים.

מצב רזולוציית DNS חיצוני חסום (תצורות Proxy מפורשות)
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. בפריסות עם תצורות Proxy מפורשות שאינן מאפשרות רזולוציית DNS חיצונית עבור לקוחות פנימיים, אם הצומת אינו יכול לבצע שאילתה על שרתי ה- DNS, הוא עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום. במצב זה, רישום צומת ובדיקות קישוריות proxy אחרות יכולות להמשיך.
הכנת הסביבה
דרישות לאבטחת נתונים היברידית מרובת דיירים
דרישות רישיון של Cisco Webex
כדי לפרוס אבטחת נתונים היברידית מרובת דיירים:
-
ארגוני שותפים: צור קשר עם שותף Cisco או מנהל החשבון שלך וודא שתכונת Multi-Tenant מופעלת.
-
ארגוני שוכרים: עליך להיות בעל חבילת Pro עבור Cisco Webex Control Hub. (ראה https://www.cisco.com/go/pro-pack.)
דרישות שולחן העבודה של Docker
לפני התקנת צמתי ה-HDS שלך, תזדקק ל-Docker Desktop כדי להפעיל תוכנית התקנה. Docker עדכנה לאחרונה את מודל הרישוי שלה. ייתכן שהארגון שלך דורש מנוי בתשלום עבור Docker Desktop. לפרטים, עיינו בפוסט בבלוג של Docker, " Docker מעדכנת ומרחיבה את מנויי המוצר שלנו".
לקוחות ללא רישיון Docker Desktop יכולים להשתמש בכלי ניהול מכולות בקוד פתוח כמו Podman Desktop כדי להפעיל, לנהל וליצור מכולות. ראה הפעלת כלי HDS Setup באמצעות Podman Desktop לפרטים.
דרישות תעודת X.509
שרשרת האישורים חייבת לעמוד בדרישות הבאות:
דרישה |
פרטים |
---|---|
|
כברירת מחדל, אנו סומכים על רשויות האישור ברשימת מוזילה (למעט WoSign ו-StartCom) בכתובת https://wiki.mozilla.org/CA:IncludedCAs. |
|
ה-CN לא צריך להיות נגיש או להיות מארח חי. אנו ממליצים להשתמש בשם המשקף את הארגון שלכם, לדוגמה, אסור ש-CN יכיל * (תו כללי). ה-CN משמש לאימות צמתי אבטחת נתונים היברידיים ללקוחות אפליקציית Webex. כל צמתי אבטחת הנתונים ההיברידיים באשכול שלך משתמשים באותו אישור. מערכת ה-KMS שלך מזהה את עצמה באמצעות תחום CN, ולא באמצעות כל תחום שמוגדר בשדות SAN של x.509v3. לאחר שרישמת צומת עם תעודה זו, איננו תומכים בשינוי שם הדומיין של CN. |
|
תוכנת ה-KMS אינה תומכת בחתימות SHA1 לאימות חיבורים ל-KMS של ארגונים אחרים. |
|
ניתן להשתמש בכלי ממיר כמו OpenSSL כדי לשנות את פורמט האישור. תצטרך להזין את הסיסמה בעת הפעלת כלי הגדרת HDS. |
תוכנת ה-KMS אינה אוכפת אילוצי שימוש במפתחות או אילוצי שימוש מורחבים במפתחות. חלק מרשויות האישורים דורשות להחיל אילוצי שימוש מורחבים במפתחות על כל תעודה, כגון אימות שרת. זה בסדר להשתמש באימות השרת או בהגדרות אחרות.
דרישות למארח וירטואלי
המארחים הווירטואליים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך עומדים בדרישות הבאות:
-
לפחות שני מארחים נפרדים (מומלץ 3) הממוקמים יחד באותו מרכז נתונים מאובטח
-
VMware ESXi 7.0 או 8.0 מותקנת ופועלת.
עליך לשדרג אם יש לך גרסה קודמת של ESXi.
-
מינימום 4 מעבדי vCPU, זיכרון ראשי של 8 ג'יגה-בייט, שטח דיסק קשיח מקומי של 30 ג'יגה-בייט לכל שרת
דרישות שרת מסד הנתונים
צור מסד נתונים חדש לאחסון מפתחות. אל תשתמש במסד הנתונים המוגדר כברירת מחדל. יישומי HDS, לאחר התקנתם, יוצרים את סכימת מסד הנתונים.
ישנן שתי אפשרויות עבור שרת מסד נתונים. הדרישות עבור כל אחד מהם הן כדלקמן:
פוסטגר-SQL |
שרת SQL של מיקרוסופט |
---|---|
|
|
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16 ג'יגה-בייט, שטח דיסק קשיח מספיק וניטור כדי להבטיח שלא חורגים ממנו (מומלץ 2 טרה-בייט אם ברצונך להפעיל את מסד הנתונים למשך זמן רב מבלי להגדיל את שטח האחסון) |
מינימום 8 מעבדי vCPU, זיכרון ראשי של 16 ג'יגה-בייט, שטח דיסק קשיח מספיק וניטור כדי להבטיח שלא חורגים ממנו (מומלץ 2 טרה-בייט אם ברצונך להפעיל את מסד הנתונים למשך זמן רב מבלי להגדיל את שטח האחסון) |
תוכנת HDS מתקינה כעת את גרסאות הדרייברים הבאות לצורך תקשורת עם שרת מסד הנתונים:
פוסטגר-SQL |
שרת SQL של מיקרוסופט |
---|---|
מנהל התקן JDBC של Postgres 42.2.5 |
מנהל התקן JDBC של SQL Server 4.6 גרסת מנהל התקן זו תומכת ב-SQL Server Always On ( Always On Failover Cluster Instances ו- Always On availability groups). |
דרישות נוספות לאימות Windows מול Microsoft SQL Server
אם ברצונך שצמתי HDS ישתמשו באימות Windows כדי לקבל גישה למסד הנתונים של מאגר המפתחות שלך ב-Microsoft SQL Server, עליך לבצע את התצורה הבאה בסביבה שלך:
-
צמתי ה-HDS, תשתית Active Directory ושרת MS SQL חייבים להיות מסונכרנים עם NTP.
-
חשבון Windows שאתה מספק לצמתי HDS חייב להיות read/write גישה למסד הנתונים.
-
שרתי ה-DNS שאתה מספק לצמתי HDS חייבים להיות מסוגלים לפענח את מרכז חלוקת המפתחות (KDC) שלך.
-
באפשרותך לרשום את מופע מסד הנתונים של HDS בשרת Microsoft SQL שלך כשם ראשי של שירות (SPN) ב-Active Directory שלך. ראה רישום שם שירות ראשי עבור חיבורי Kerberos.
כלי ההתקנה של HDS, מפעיל ה-HDS ומערכת ה-KMS המקומית צריכים להשתמש באימות Windows כדי לגשת למסד הנתונים של מאגר המפתחות. הם משתמשים בפרטים מתצורת ה-ISO שלך כדי לבנות את ה-SPN בעת בקשת גישה באמצעות אימות Kerberos.
דרישות קישוריות חיצוניות
הגדר את חומת האש שלך כך שתאפשר את הקישוריות הבאה עבור יישומי HDS:
יישום |
פרוטוקול |
יציאה |
הוראות מהאפליקציה |
יעד |
---|---|---|---|---|
צמתי אבטחת נתונים היברידיים |
TCP |
443 |
HTTPS ו-WSS יוצאים |
|
כלי הגדרת HDS |
TCP |
443 |
HTTPS יוצא |
|
צמתי אבטחת נתונים היברידיים פועלים עם תרגום גישה לרשת (NAT) או מאחורי חומת אש, כל עוד ה-NAT או חומת האש מאפשרים את החיבורים היוצאים הנדרשים ליעדי הדומיין בטבלה הקודמת. עבור חיבורים הנכנסים לצמתי אבטחת נתונים היברידיים, לא אמורות להיות יציאות גלויות מהאינטרנט. בתוך מרכז הנתונים שלך, לקוחות זקוקים לגישה לצמתי אבטחת נתונים היברידיים ביציאות TCP 443 ו-22, למטרות ניהול.
כתובות ה-URL עבור מארחי הזהות המשותפת (CI) הן ספציפיות לאזור. אלו הם מארחי ה-CI הנוכחיים:
אזור |
כתובות URL של מארח זהויות משותפות |
---|---|
אמריקה |
|
האיחוד האירופי |
|
קנדה |
|
סינגפור |
|
איחוד האמירויות הערביות |
|
דרישות שרת פרוקסי
-
אנו תומכים באופן רשמי בפתרונות הפרוקסי הבאים שיכולים להשתלב עם צמתי אבטחת הנתונים ההיברידיים שלך.
-
פרוקסי שקוף – מכשיר אבטחת האינטרנט של Cisco (WSA).
-
פרוקסי מפורש – דיונון.
פרוקסי Squid שבודקים תעבורת HTTPS עלולים להפריע להקמת שקעי אינטרנט (wss:) קשרים. כדי לעקוף בעיה זו, ראה הגדרת שרת פרוקסי של Squid עבור אבטחת נתונים היברידית.
-
-
אנו תומכים בשילובי סוגי האימות הבאים עבור פרוקסי מפורשים:
-
אין אימות עם HTTP או HTTPS
-
אימות בסיסי באמצעות HTTP או HTTPS
-
לעכל אימות באמצעות HTTPS בלבד
-
-
עבור proxy בודק שקוף או proxy מפורש של HTTPS, עליך להיות עותק של אישור הבסיס של ה- Proxy. הוראות הפריסה במדריך זה מלמדות אותך כיצד להעלות את העותק למאגרי האמון של צמתי אבטחת הנתונים ההיברידיים.
-
יש להגדיר את הרשת המארחת את צמתי HDS כך שתאלץ תעבורת TCP יוצאת ביציאה 443 לנתב דרך ה- Proxy.
-
פרוקסי שבודקים את תעבורת האינטרנט עלולים להפריע לחיבורי שקעי אינטרנט. אם בעיה זו מתרחשת, עקיפת (לא בדיקת) התעבורה אל
wbx2.com
ו-ciscospark.com
תפתור את הבעיה.
השלם את הדרישות המוקדמות לאבטחת נתונים היברידית
1 |
ודא שארגון השותף שלך מופעלת בתכונת ה-HDS הרב-דיירים וקבל את האישורים של חשבון עם הרשאות מנהל מערכת מלאות של שותף ומנהל מערכת מלא. ודא שארגון הלקוחות של Webex שלך מופעל עבור Pro Pack עבור Cisco Webex Control Hub. צור קשר עם שותף סיסקו או מנהל תיק הלקוח שלך לקבלת עזרה בתהליך זה. לארגוני לקוחות אסור שיהיה פריסת HDS קיימת. |
2 |
בחר שם תחום עבור פריסת ה-HDS שלך (לדוגמה, |
3 |
הכן מארחים וירטואליים זהים שתגדיר כצמתי אבטחת נתונים היברידיים באשכול שלך. אתם זקוקים לפחות לשני מארחים נפרדים (מומלץ 3) הממוקמים יחד באותו מרכז נתונים מאובטח, אשר עומדים בדרישות ב- דרישות למארח וירטואלי. |
4 |
הכן את שרת מסד הנתונים שישמש כמאגר הנתונים המרכזי עבור האשכול, בהתאם לדרישות שרת מסד הנתונים. שרת מסד הנתונים חייב להיות ממוקם יחד במרכז הנתונים המאובטח עם המארחים הווירטואליים. |
5 |
להתאוששות מהירה מאסון, הגדר סביבת גיבוי במרכז נתונים אחר. סביבת הגיבוי משקפת את סביבת הייצור של מכונות וירטואליות ושרת מסד נתונים לגיבוי. לדוגמה, אם בייצור יש 3 מכונות וירטואליות המריצות צמתים של HDS, סביבת הגיבוי צריכה לכלול 3 מכונות וירטואליות. |
6 |
הגדר מארח syslog לאיסוף יומני רישום מהצמתים באשכול. אסוף את כתובת הרשת ויציאת ה-syslog שלו (ברירת המחדל היא UDP 514). |
7 |
צור מדיניות גיבוי מאובטחת עבור צמתי אבטחת נתונים היברידית, שרת מסד הנתונים ומחשב ה-syslog. לכל הפחות, כדי למנוע אובדן נתונים בלתי ניתן לשחזור, עליך לגבות את מסד הנתונים ואת קובץ ה-ISO של התצורה שנוצר עבור צמתי אבטחת הנתונים ההיברידיים. מכיוון שצמתי אבטחת נתונים היברידית מאחסנים את המפתחות המשמשים להצפנה ופענוח של תוכן, אי שמירה על פריסה מבצעית תגרום לאובדן בלתי ניתן לשחזור של תוכן זה. לקוחות אפליקציית Webex מאחסנים את המפתחות שלהם במטמון, כך שייתכן שהפסקה לא תהיה מורגשת באופן מיידי אך תתברר עם הזמן. אמנם בלתי אפשרי למנוע הפסקות זמניות, אך הן ניתנות לשיקום. עם זאת, אובדן מוחלט (אין גיבויים זמינים) של מסד הנתונים או קובץ ה-ISO של התצורה יגרום לנתוני לקוח בלתי ניתנים לשחזור. מפעילי צמתי אבטחת הנתונים ההיברידיים צפויים לתחזק גיבויים תכופים של מסד הנתונים וקובץ ISO של התצורה, ולהיות מוכנים לבנות מחדש את מרכז הנתונים של אבטחת הנתונים ההיברידיים אם מתרחשת כשל קטסטרופלי. |
8 |
ודא שתצורת חומת האש שלך מאפשרת קישוריות עבור צמתי אבטחת הנתונים ההיברידיים שלך כפי שמתואר ב- דרישות קישוריות חיצוניות. |
9 |
התקן את Docker ( https://www.docker.com) על כל מחשב מקומי שמפעיל מערכת הפעלה נתמכת (Microsoft Windows 10 Professional או Enterprise 64-bit, או Mac OSX Yosemite 10.10.3 ומעלה) עם דפדפן אינטרנט שיכול לגשת אליו בכתובת http://127.0.0.1:8080. אתה משתמש במופע Docker כדי להוריד ולהפעיל את כלי הגדרת HDS, אשר בונה את פרטי התצורה המקומיים עבור כל צמתי אבטחת הנתונים ההיברידיים. ייתכן שתצטרך רישיון Docker Desktop. ראה דרישות שולחן העבודה של Docker למידע נוסף. כדי להתקין ולהפעיל את כלי ההתקנה של HDS, על המכונה המקומית להיות בעלת הקישוריות המתוארת ב- דרישות קישוריות חיצוניות. |
10 |
אם אתם משלבים פרוקסי עם אבטחת נתונים היברידית, ודאו שהוא עומד בדרישות שרת הפרוקסי. |
הגדרת אשכול אבטחת נתונים היברידי
זרימת משימות של פריסת אבטחת נתונים היברידית
1 |
בצע הגדרה ראשונית והורד קבצי התקנה הורד את קובץ ה-OVA למחשב המקומי שלך לשימוש מאוחר יותר. |
2 |
צור קובץ ISO של תצורה עבור מארחי HDS השתמש בכלי הגדרת HDS כדי ליצור קובץ תצורה ISO עבור צמתי אבטחת נתונים היברידיים. |
3 |
צור מכונה וירטואלית מקובץ ה-OVA ובצע הגדרות ראשוניות, כגון הגדרות רשת. האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 7.0 ו-8.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
4 |
הגדר את מכונת ה-VM של אבטחת נתונים היברידית היכנס לקונסולת ה-VM והגדר את פרטי הכניסה. הגדר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת ה-OVA. |
5 |
העלה והתקן קובץ ISO של תצורת HDS הגדר את המכונה הווירטואלית מקובץ התצורה ISO שיצרת באמצעות כלי ההתקנה של HDS. |
6 |
קביעת התצורה של צומת HDS עבור שילוב Proxy אם סביבת הרשת דורשת תצורת פרוקסי, ציין את סוג הפרוקסי שבו תשתמש עבור הצומת, והוסף את אישור הפרוקסי למאגר האמון במידת הצורך. |
7 |
רשום את המכונה הווירטואלית בענן Cisco Webex כצומת אבטחת נתונים היברידי. |
8 |
השלם את הגדרת האשכול. |
9 |
הפעל HDS מרובה דיירים במרכז השותפים. הפעל את HDS ונהל ארגוני דיירים במרכז השותפים. |
בצע הגדרה ראשונית והורד קבצי התקנה
במשימה זו, עליך להוריד קובץ OVA למחשב שלך (לא לשרתים שהגדרת כצמתי אבטחת נתונים היברידיים). תוכל להשתמש בקובץ זה בהמשך תהליך ההתקנה.
1 |
היכנס למרכז השותפים ולאחר מכן לחץ על שירותים. |
2 |
במקטע שירותי ענן, מצא את כרטיס אבטחת נתונים היברידית ולאחר מכן לחץ על הגדר. לחיצה על הגדרה במרכז השותפים היא קריטית לתהליך הפריסה. אל תמשיכו בהתקנה מבלי להשלים שלב זה. |
3 |
לחץ על הוסף משאב ולאחר מכן לחץ על הורד קובץ .OVA בכרטיס התקנה והגדרה של תוכנה. גרסאות ישנות יותר של חבילת התוכנה (OVA) לא יהיו תואמות לשדרוגי אבטחת הנתונים ההיברידיים האחרונים. זה עלול לגרום לבעיות בעת שדרוג האפליקציה. ודא שאתה מוריד את הגרסה העדכנית ביותר של קובץ ה-OVA. ניתן גם להוריד את ה-OVA בכל עת מהקטע עזרה. לחץ על . הורדת קובץ ה-OVA מתחילה אוטומטית. שמור את הקובץ במיקום מסוים במחשב שלך.
|
4 |
לחלופין, לחצו על ראה מדריך פריסת אבטחת נתונים היברידית כדי לבדוק אם קיימת גרסה מאוחרת יותר של מדריך זה. |
צור קובץ ISO של תצורה עבור מארחי HDS
תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את פרטי הגישה של חשבון Partner Hub עם הרשאות מנהל מלאות.
אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS עבור שלבים 1 עד 5 בהליך שלהלן. ראה הפעלת כלי HDS Setup באמצעות Podman Desktop לפרטים.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5 להלן. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:
-
אישורי מסד נתונים
-
עדכוני תעודות
-
שינויים במדיניות ההרשאה
-
-
אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. | ||||||||||
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: | ||||||||||
3 |
בשורת הסיסמה, הזן גיבוב זה: | ||||||||||
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: | ||||||||||
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". | ||||||||||
6 |
כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית. | ||||||||||
7 |
כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. | ||||||||||
8 |
בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל. | ||||||||||
9 |
בדף ייבוא ISO, יש לך את האפשרויות הבאות:
| ||||||||||
10 |
ודא שתעודת ה-X.509 שלך עומדת בדרישות המופיעות ב- דרישות לתעודת X.509.
| ||||||||||
11 |
הזן את כתובת מסד הנתונים ואת החשבון עבור HDS כדי לגשת למאגר הנתונים של המפתחות שלך: | ||||||||||
12 |
בחר מצב חיבור מסד נתונים TLS:
כאשר אתה מעלה את אישור הבסיס (במידת הצורך) ולחץ על המשך, כלי הגדרת HDS בודק את חיבור ה-TLS לשרת מסד הנתונים. הכלי גם מאמת את חותם האישור ואת שם המארח, אם רלוונטי. אם בדיקה נכשלת, הכלי מציג הודעת שגיאה המתארת את הבעיה. באפשרותך לבחור אם להתעלם מהשגיאה ולהמשיך בהגדרה. (בגלל הבדלי קישוריות, ייתכן שצמתי ה-HDS יוכלו ליצור את חיבור ה-TLS גם אם מכונת כלי ההתקנה של HDS לא תוכל לבדוק אותו בהצלחה.) | ||||||||||
13 |
בדף יומני המערכת, הגדר את שרת ה-Syslogd שלך: | ||||||||||
14 |
(אופציונלי) ניתן לשנות את ערך ברירת המחדל עבור חלק מפרמטרי חיבור מסד הנתונים ב- הגדרות מתקדמות. באופן כללי, פרמטר זה הוא היחיד שעשוי להיות רצוי לשנות: | ||||||||||
15 |
לחץ על המשך במסך איפוס סיסמת חשבונות שירות. סיסמאות לחשבונות שירות הן בעלות תוקף של תשעה חודשים. השתמש במסך זה כאשר הסיסמאות שלך מתקרבות לתפוגה או שברצונך לאפס אותן כדי לבטל קבצי ISO קודמים. | ||||||||||
16 |
לחץ על הורד קובץ ISO. שמור את הקובץ במיקום שקל למצוא אותו. | ||||||||||
17 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור את עותק הגיבוי בצורה מאובטחת. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת נתונים היברידית שצריכים לבצע שינויי תצורה. | ||||||||||
18 |
כדי לכבות את כלי ההתקנה, הקלד |
מה הלאה?
גבה את קובץ ה-ISO של התצורה. אתה צריך את זה כדי ליצור עוד צמתים לשחזור, או כדי לבצע שינויי תצורה. אם תאבד את כל העותקים של קובץ ה-ISO, איבדת גם את המפתח הראשי. שחזור המפתחות ממסד הנתונים של PostgreSQL או Microsoft SQL Server אינו אפשרי.
אין לנו עותק של המפתח הזה ולא נוכל לעזור אם תאבד אותו.
התקנת ה-HDS Host OVA
1 |
השתמש בלקוח VMware vSphere במחשב שלך כדי להתחבר למארח הווירטואלי של ESXi. |
2 |
בחר קובץ > פריסת תבנית OVF. |
3 |
באשף, ציין את מיקום קובץ ה-OVA שהורדת קודם לכן ולאחר מכן לחץ על הבא. |
4 |
בדף בחר שם ותיקייה, הזן שם מכונה וירטואלית עבור הצומת (לדוגמה, "HDS_Node_1"), בחר מיקום שבו פריסת צומת המכונה הווירטואלית יכולה להימצא ולאחר מכן לחץ על הבא. |
5 |
בדף בחירת משאב מחשוב, בחרו את משאב המחשוב המשמש כיעד ולאחר מכן לחצו על הבא. בדיקת אימות מופעלת. לאחר סיום הפעולה, יופיעו פרטי התבנית. |
6 |
אמת את פרטי התבנית ולאחר מכן לחץ על הבא. |
7 |
אם תתבקשו לבחור את תצורת המשאבים בדף תצורה, לחצו על 4 CPU ולאחר מכן לחצו על הבא. |
8 |
בדף בחירת אחסון, לחץ על הבא כדי לקבל את פורמט הדיסק ואת מדיניות אחסון המכונה הווירטואלית המוגדרים כברירת מחדל. |
9 |
בדף בחירת רשתות, בחר את אפשרות הרשת מרשימת הערכים כדי לספק את הקישוריות הרצויה למכונה הווירטואלית. |
10 |
בדף התאמה אישית של תבנית, קבע את הגדרות הרשת הבאות:
אם מעדיפים, ניתן לדלג על קביעת תצורת הרשת ולבצע את השלבים ב- הגדרת מכונת אבטחת נתונים היברידית כדי לקבוע את תצורת ההגדרות מקונסולת הצומת. האפשרות לקבוע את תצורת הגדרות הרשת במהלך פריסת OVA נבדקה עם ESXi 7.0 ו-8.0. ייתכן שהאפשרות לא תהיה זמינה בגרסאות קודמות. |
11 |
לחץ לחיצה ימנית על הצומת הווירטואלי ולאחר מכן בחר .תוכנת אבטחת הנתונים ההיברידית מותקנת כאורחת במארח הווירטואלי. כעת אתה מוכן להיכנס לקונסולה ולקבוע את התצורה של הצומת. טיפים לפתרון בעיות ייתכן שתיתקל בעיכוב של מספר דקות לפני שמכולות הצומת יופיעו. הודעת חומת אש של גשר מופיעה בקונסולה במהלך האתחול הראשון, שבמהלכו לא ניתן להתחבר. |
הגדר את מכונת ה-VM של אבטחת נתונים היברידית
השתמש בהליך זה כדי להיכנס למסוף ה-VM של צומת אבטחת נתונים היברידי בפעם הראשונה ולהגדיר את אישורי הכניסה. ניתן גם להשתמש בקונסולה כדי להגדיר את הגדרות הרשת עבור הצומת אם לא הגדרת אותן בזמן פריסת ה-OVA.
1 |
בלקוח VMware vSphere, בחר את מכונת ה-VM של צומת אבטחת הנתונים ההיברידית שלך ובחר בכרטיסייה מסוף. המכונה הווירטואלית מאותחלת ומופיעה בקשת התחברות. אם בקשת הכניסה לא מוצגת, לחץ על Enter.
|
2 |
השתמשו בשם המשתמש והסיסמה הבאים המוגדרים כברירת מחדל כדי להיכנס ולשנות את פרטי הכניסה: מכיוון שאתה נכנס למכונה הווירטואלית שלך בפעם הראשונה, עליך לשנות את סיסמת מנהל המערכת. |
3 |
אם כבר קבעת את הגדרות הרשת ב- התקנת HDS Host OVA, דלג על שאר הליך זה. אחרת, בתפריט הראשי, בחר באפשרות עריכת תצורה. |
4 |
הגדר תצורה סטטית עם כתובת IP, מסכה, שער ומידע DNS. לצומת שלך צריכה להיות כתובת IP פנימית ושם DNS. DHCP אינו נתמך. |
5 |
(אופציונלי) שנה את שם המארח, הדומיין או שרתי ה-NTP, במידת הצורך, כדי להתאים למדיניות הרשת שלך. אינך צריך להגדיר את הדומיין כך שיתאים לדומיין בו השתמשת כדי לקבל את אישור ה-X.509. |
6 |
שמור את תצורת הרשת והפעל מחדש את המכונה הווירטואלית כדי שהשינויים ייכנסו לתוקף. |
העלה והתקן קובץ ISO של תצורת HDS
לפני שתתחיל
מכיוון שקובץ ה-ISO מכיל את המפתח הראשי, יש לחשוף אותו רק על בסיס "צורך לדעת", לגישה של מכונות וירטואליות של אבטחת נתונים היברידית וכל מנהל מערכת שעשוי להזדקק לבצע שינויים. ודא שרק מנהלי המערכת האלה יכולים לגשת למאגר הנתונים.
1 |
העלה את קובץ ה-ISO מהמחשב שלך: |
2 |
התקינו את קובץ ה-ISO: |
מה הלאה?
אם מדיניות ה-IT שלך דורשת זאת, תוכל אופציונלית לבטל את טעינת קובץ ה-ISO לאחר שכל הצמתים שלך יאמצו את שינויי התצורה. ראה (אופציונלי) ניתוק ISO לאחר הגדרת HDS לפרטים.
קביעת התצורה של צומת HDS עבור שילוב Proxy
אם סביבת הרשת דורשת proxy, השתמש בהליך זה כדי לציין את סוג ה- Proxy שברצונך לשלב עם אבטחת נתונים היברידית. אם תבחר בפרוקסי בדיקה שקוף או ב- Proxy מפורש של HTTPS, תוכל להשתמש בממשק של הצומת כדי להעלות ולהתקין את אישור הבסיס. באפשרותך גם לבדוק את חיבור ה- Proxy מהממשק ולפתור בעיות פוטנציאליות.
לפני שתתחיל
-
עיין בתמיכה ב - Proxy לקבלת מבט כולל על אפשרויות ה- Proxy הנתמכות.
1 |
הזן את כתובת ה-URL של הגדרת צומת HDS |
2 |
עבור אל חנות אמון ו- Proxyולאחר מכן בחר אפשרות:
בצע את השלבים הבאים עבור Proxy בודק שקוף, proxy מפורש HTTP עם אימות בסיסי או proxy מפורש HTTPS. |
3 |
לחץ על העלה אישור בסיס או על אישורישות סיום ולאחר מכן נווט אל בחר את אישור הבסיס של ה- Proxy. האישור מועלה אך עדיין לא מותקן מכיוון שעליך לאתחל את הצומת כדי להתקין את האישור. לחץ על חץ שברון לפי שם מנפיק האישור כדי לקבל פרטים נוספים או לחץ על מחק אם טעית וברצונך להעלות מחדש את הקובץ. |
4 |
לחץ על בדוק חיבור Proxy כדי לבדוק את קישוריות הרשת בין הצומת ל- proxy. אם בדיקת החיבור נכשלת, תראה הודעת שגיאה המציגה את הסיבה וכיצד באפשרותך לתקן את הבעיה. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS. תנאי זה צפוי בתצורות פרוקסי מפורשות רבות. באפשרותך להמשיך בהגדרה, והצומת יפעל במצב פתרון DNS חיצוני חסום. אם אתה חושב שמדובר בשגיאה, השלם את השלבים הבאים ולאחר מכן ראה בטל את מצב רזולוציית DNS חיצוני חסום. |
5 |
לאחר שבדיקת החיבור עוברת, עבור proxy מפורש המוגדר ל- https בלבד, הפעל את המתג ל - Route all port 443/444 https בקשות מצומת זה באמצעות ה- proxyהמפורש. הגדרה זו דורשת 15 שניות כדי להיכנס לתוקף. |
6 |
לחץ על התקן את כל האישורים במאגר האמון (מופיע עבור proxy מפורש של HTTPS או פרוקסי בדיקה שקוף) או אתחול מחדש (מופיע עבור proxy מפורש של HTTP), קרא את הבקשה ולאחר מכן לחץ על התקן אם אתה מוכן. הצומת מאתחל מחדש תוך מספר דקות. |
7 |
לאחר אתחול מחדש של הצומת, היכנס שוב במידת הצורך ולאחר מכן פתח את דף הסקירה הכללית כדי לבדוק את בדיקות הקישוריות כדי לוודא שכולם במצב ירוק. בדיקת חיבור הפרוקסי בודקת רק תת-דומיין של webex.com. אם יש בעיות קישוריות, בעיה נפוצה היא שחלק מתחומי הענן המפורטים בהוראות ההתקנה נחסמים ב- Proxy. |
רשום את הצומת הראשון באשכול
כשאתה רושם את הצומת הראשון שלך, אתה יוצר אשכול שאליו מוקצה הצומת. אשכול מכיל צומת אחד או יותר שנפרסים כדי לספק יתירות.
לפני שתתחיל
-
לאחר שתתחילו ברישום של צומת, עליכם להשלים אותו תוך 60 דקות או שתצטרכו להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריג עבור admin.webex.com.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע שירותי ענן, מצא את הכרטיס אבטחת נתונים היברידית ולחץ על הגדר. |
4 |
בדף שנפתח, לחצו על הוספת משאב. |
5 |
בשדה הראשון של הכרטיס הוסף צומת, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידית שלך. אנו ממליצים לתת שם לאשכול בהתבסס על מיקום צמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
6 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת שלך ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN הזו צריכים להתאים לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת ב- הגדרת מכונת אבטחת נתונים היברידית. מופיעה הודעה המציינת שבאפשרותך לרשום את הצומת שלך ב-Webex.
|
7 |
לחץ על עבור אל צומת. לאחר מספר רגעים, תועברו לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות יעברו בהצלחה, יופיע הדף אפשר גישה לצומת אבטחת נתונים היברידי. שם, עליך לאשר שברצונך להעניק לארגון Webex שלך הרשאות גישה לצומת שלך. |
8 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידי שלך ולאחר מכן לחץ על המשך. החשבון שלך אומת וההודעה "ההרשמה הושלמה" מציינת שהצומת שלך רשום כעת בענן Webex.
|
9 |
לחץ על הקישור או סגור את הכרטיסייה כדי לחזור לדף אבטחת נתונים היברידית של מרכז השותפים. בדף אבטחת נתונים היברידית, האשכול החדש המכיל את הצומת שרשמת מוצג תחת הכרטיסייה משאבים. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
צור ורשום צמתים נוספים
לפני שתתחיל
-
לאחר שתתחילו ברישום של צומת, עליכם להשלים אותו תוך 60 דקות או שתצטרכו להתחיל מחדש.
-
ודא שכל חוסמי החלונות הקופצים בדפדפן שלך מושבתים או שאתה מאפשר חריג עבור admin.webex.com.
1 |
צור מכונה וירטואלית חדשה מה-OVA, וחזר על השלבים ב- התקן את HDS Host OVA. |
2 |
הגדר את התצורה הראשונית במכונה הווירטואלית החדשה, וחזר על השלבים ב- הגדרת מכונת אבטחת נתונים היברידית. |
3 |
במכונה הווירטואלית החדשה, חזור על השלבים ב- העלאה והרכבה של קובץ ISO תצורת HDS. |
4 |
אם אתם מגדירים פרוקסי עבור הפריסה שלכם, חזרו על השלבים ב- הגדרת צומת HDS עבור שילוב פרוקסי לפי הצורך עבור הצומת החדש. |
5 |
רשום את הצומת. |
ניהול ארגוני דיירים באבטחת נתונים היברידית מרובת דיירים
הפעלת HDS רב-דיירים במרכז השותפים
משימה זו מבטיחה שכל המשתמשים בארגוני הלקוחות יוכלו להתחיל למנף את HDS עבור מפתחות הצפנה מקומיים ושירותי אבטחה אחרים.
לפני שתתחיל
ודא שהשלמת את הגדרת אשכול ה-HDS הרב-דייר שלך עם מספר הצמתים הנדרש.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על ערוך הגדרות. |
4 |
לחץ על הפעל HDS בכרטיס סטטוס HDS. |
הוספת ארגוני דיירים במרכז השותפים
במשימה זו, עליך להקצות ארגוני לקוחות לאשכול אבטחת נתונים היברידי שלך.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הצג הכל. |
4 |
לחץ על האשכול שאליו ברצונך לשייך לקוח. |
5 |
עבור אל הכרטיסייה לקוחות שהוקצו. |
6 |
לחץ על הוסף לקוחות. |
7 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
8 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
9 |
חזור על שלבים 6 עד 8 כדי להוסיף מספר לקוחות לאשכול שלך. |
10 |
לחץ על סיום בתחתית המסך לאחר הוספת הלקוחות. |
מה הלאה?
צור מפתחות ראשיים של לקוח (CMK) באמצעות כלי הגדרת HDS
לפני שתתחיל
הקצה לקוחות לאשכול המתאים כמפורט ב- הוסף ארגוני דיירים במרכז השותפים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההגדרה עבור ארגוני הלקוחות שנוספו לאחרונה.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Partner Hub עם הרשאות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:
-
אישורי מסד נתונים
-
עדכוני תעודות
-
שינויים במדיניות ההרשאה
-
-
אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.
תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית. |
7 |
כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. |
8 |
בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל. |
9 |
בדף ייבוא ISO, לחץ על כן. |
10 |
בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו. ודא קישוריות למסד הנתונים שלך כדי לבצע ניהול CMK. |
11 |
עבור אל הכרטיסייה ניהול CMK של דיירים, שם תמצא את שלוש הדרכים הבאות לניהול CMK של דיירים.
|
12 |
לאחר יצירת CMK בהצלחה, הסטטוס בטבלה ישתנה מ- ניהול CMK בהמתנה ל- CMK מנוהל. |
13 |
אם יצירת CMK לא תצליח, תוצג שגיאה. |
הסר ארגוני דיירים
לפני שתתחיל
לאחר הסרתם, משתמשים של ארגוני לקוחות לא יוכלו למנף את HDS לצורכי ההצפנה שלהם ויאבדו את כל המרחבים הקיימים. לפני הסרת ארגוני לקוחות, אנא צרו קשר עם שותף Cisco או מנהל תיק הלקוח שלכם.
1 |
היכנס אל https://admin.webex.com. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הצג הכל. |
4 |
בכרטיסייה משאבים, לחץ על האשכול שממנו ברצונך להסיר ארגוני לקוחות. |
5 |
בדף שנפתח, לחצו על לקוחות שהוקצו. |
6 |
מרשימת ארגוני הלקוחות המוצגים, לחצו על ... בצד ימין של ארגון הלקוח שברצונכם להסיר ולחצו על הסר מאשכול. |
מה הלאה?
השלם את תהליך ההסרה על ידי ביטול CMK של ארגוני הלקוחות כמפורט ב- ביטול CMK של דיירים שהוסרו מ-HDS.
ביטול CMK של דיירים שהוסרו מ-HDS.
לפני שתתחיל
הסר לקוחות מהאשכול המתאים כמפורט ב- הסר ארגוני דיירים. הפעל את כלי הגדרת HDS כדי להשלים את תהליך ההסרה עבור ארגוני הלקוחות שהוסרו.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את האישורים של חשבון Partner Hub עם הרשאות מנהל מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:
-
אישורי מסד נתונים
-
עדכוני תעודות
-
שינויים במדיניות ההרשאה
-
-
אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.
תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
6 |
כלי ההתקנה אינו תומך בחיבור ל-localhost דרך http://localhost:8080. השתמש ב- http://127.0.0.1:8080 כדי להתחבר ל-localhost. השתמש בדפדפן אינטרנט כדי לגשת ל-localhost, הכלי משתמש בערך הראשון של שם המשתמש כדי להגדיר את הסביבה המתאימה עבור חשבון זה. לאחר מכן הכלי מציג את בקשת הכניסה הסטנדרטית. |
7 |
כאשר תתבקש, הזן את פרטי הכניסה שלך למנהל מרכז השותפים ולאחר מכן לחץ על התחבר כדי לאפשר גישה לשירותים הנדרשים עבור אבטחת נתונים היברידית. |
8 |
בדף הסקירה הכללית של כלי ההתקנה, לחץ על התחל. |
9 |
בדף ייבוא ISO, לחץ על כן. |
10 |
בחר את קובץ ה-ISO שלך בדפדפן והעלה אותו. |
11 |
עבור אל הכרטיסייה ניהול CMK של דיירים, שם תמצא את שלוש הדרכים הבאות לניהול CMK של דיירים.
|
12 |
לאחר ביטול CMK בהצלחה, ארגון הלקוח לא יופיע עוד בטבלה. |
13 |
אם ביטול CMK לא נכשל, תוצג שגיאה. |
בדוק את פריסת אבטחת הנתונים ההיברידית שלך
בדוק את פריסת אבטחת הנתונים ההיברידית שלך
לפני שתתחיל
-
הגדר את פריסת אבטחת הנתונים ההיברידית מרובת הדיירים שלך.
-
ודא שיש לך גישה ל-syslog כדי לוודא שבקשות מפתח מועברות לפריסת אבטחת הנתונים ההיברידית מרובת הדיירים שלך.
1 |
מפתחות עבור מרחב נתון נקבעים על ידי יוצר המרחב. היכנס לאפליקציית Webex כאחד ממשתמשי ארגון הלקוחות ולאחר מכן צור מרחב. אם תבטל את פריסת אבטחת הנתונים ההיברידית, תוכן במרחבים שמשתמשים יוצרים לא יהיה נגיש עוד לאחר החלפת עותקי מפתחות ההצפנה המאוחסנים במטמון הלקוח. |
2 |
שלח הודעות למרחב החדש. |
3 |
בדוק את פלט ה-syslog כדי לוודא שבקשות המפתח עוברות לפריסת אבטחת הנתונים ההיברידית שלך. אם משתמש של ארגון לקוח חדש שנוסף מבצע פעולה כלשהי, מזהה הארגון של הארגון יופיע ביומנים, וניתן להשתמש בו כדי לוודא שהארגון ממנף HDS רב-דיירים. בדוק את הערך של |
ניטור תקינות אבטחת נתונים היברידית
1 |
ב מרכז השותפים, בחר שירותים מהתפריט בצד שמאל של המסך. |
2 |
במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על ערוך הגדרות. מופיע דף הגדרות אבטחת נתונים היברידיים.
|
3 |
במקטע התראות דוא"ל, הקלד כתובת דוא"ל אחת או יותר המופרדות בפסיקים, ולחץ על Enter. |
ניהול פריסת ה-HDS שלך
ניהול פריסת HDS
השתמש במשימות המתוארות כאן כדי לנהל את פריסת אבטחת הנתונים ההיברידית שלך.
הגדרת לוח זמנים לשדרוג אשכולות
כדי להגדיר את לוח הזמנים של השדרוג:
1 |
היכנס למרכז השותפים. |
2 |
מהתפריט בצד שמאל של המסך, בחר שירותים. |
3 |
במקטע שירותי ענן, מצא את האפשרות אבטחת נתונים היברידית ולחץ על הגדר |
4 |
בדף משאבי אבטחת נתונים היברידיים, בחר את האשכול. |
5 |
לחץ על הכרטיסייה הגדרות אשכול. |
6 |
בדף הגדרות אשכול, תחת לוח זמנים לשדרוג, בחר את הזמן ואזור הזמן עבור לוח הזמנים של השדרוג. הערות מתחת לאזור הזמן, מוצגים התאריך והשעה הזמינים הבאים לשדרוג. ניתן לדחות את השדרוג ליום המחרת, במידת הצורך, על ידי לחיצה על דחייה ב-24 שעות. |
שנה את תצורת הצומת
-
שינוי אישורי x.509 עקב תפוגה או סיבות אחרות.
איננו תומכים בשינוי שם התחום CN של אישור. התחום חייב להתאים לתחום המקורי ששימש לרישום האשכול.
-
עדכון הגדרות מסד הנתונים כדי לעבור להעתק של מסד הנתונים PostgreSQL או Microsoft SQL Server.
איננו תומכים בהעברת נתונים מ- PostgreSQL ל- Microsoft SQL Server, או בכיוון ההפוך. כדי להחליף את סביבת מסד הנתונים, התחל פריסה חדשה של אבטחת נתונים היברידית.
-
יצירת תצורה חדשה להכנת מרכז נתונים חדש.
כמו כן, למטרות אבטחה, 'אבטחת נתונים היברידית' משתמשת בסיסמאות של חשבונות שירות בעלי תוחלת חיים של תשעה חודשים. לאחר שהכלי HDS Setup מייצר סיסמאות אלה, אתה פורס אותן בכל אחד מצמתי ה-HDS שלך בקובץ תצורת ISO. כאשר הסיסמאות של הארגון שלך מתקרבות לתפוגה, אתה מקבל הודעה מצוות Webex לאפס את הסיסמה עבור חשבון המחשב שלך. (הודעת הדואר האלקטרוני כוללת את הטקסט "השתמש ב-API של חשבון המחשב כדי לעדכן את הסיסמה.") אם תוקף הסיסמאות שלך עדיין לא פג, הכלי מספק לך שתי אפשרויות:
-
איפוס רך— הסיסמאות הישנות והחדשות פועלות עד 10 ימים. השתמש בתקופה זו כדי להחליף את קובץ ה- ISO בצמתים בהדרגה.
-
איפוס קשיח— הסיסמאות הישנות מפסיקות לפעול באופן מיידי.
אם תוקף הסיסמאות שלך פג ללא איפוס, הוא משפיע על שירות ה-HDS שלך, ודורש איפוס קשיח מיידי והחלפה של קובץ ה-ISO בכל הצמתים.
השתמש בהליך זה כדי ליצור קובץ ISO תצורה חדש ולהחיל אותו על האשכול שלך.
לפני שתתחיל
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הפעל את Docker במחשב זה. תהליך ההתקנה דורש את פרטי הגישה של חשבון Partner Hub עם הרשאות מנהל מלאות של השותף.
אם אין לך רישיון Docker Desktop, תוכל להשתמש ב-Podman Desktop כדי להפעיל את כלי הגדרת HDS עבור שלבים 1.א' עד 1.ה' בהליך שלהלן. ראה הפעלת כלי HDS Setup באמצעות Podman Desktop לפרטים.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, פורט, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker ב- 1.e. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
דרוש עותק של קובץ ה- ISO הנוכחי של התצורה כדי ליצור תצורה חדשה. ה- ISO מכיל את המפתח הראשי המצפין את מסד הנתונים PostgreSQL או Microsoft SQL Server. אתה זקוק ל- ISO בעת ביצוע שינויי תצורה, כולל אישורי מסד נתונים, עדכוני אישורים או שינויים במדיניות ההרשאות.
1 |
באמצעות Docker במחשב מקומי, הפעל את כלי ההתקנה HDS. |
2 |
אם יש לך רק צומת HDS אחד שפועל, צור מכונה וירטואלית חדשה של צומת אבטחת נתונים היברידי ורשום אותה באמצעות קובץ ISO התצורה החדש. להוראות מפורטות יותר, ראה צור ורישום צמתים נוספים. |
3 |
עבור צמתי HDS קיימים שבהם פועל קובץ התצורה הישן יותר, הרכיבו את קובץ ה-ISO. בצע את ההליך הבא בכל צומת בתורו, עדכון כל צומת לפני כיבוי הצומת הבא: |
4 |
חזור על שלב 3 כדי להחליף את התצורה בכל צומת שנותר שמפעיל את התצורה הישנה. |
ביטול מצב רזולוציית DNS חיצוני חסום
בעת רישום צומת או בדיקת תצורת ה- Proxy של הצומת, התהליך בודק חיפוש DNS וקישוריות לענן Cisco Webex. אם שרת ה- DNS של הצומת אינו יכול לפתור שמות DNS ציבוריים, הצומת עובר באופן אוטומטי למצב רזולוציית DNS חיצוני חסום.
אם הצמתים שלך מסוגלים לפתור שמות DNS ציבוריים באמצעות שרתי DNS פנימיים, באפשרותך לבטל מצב זה על-ידי הפעלה מחדש של בדיקת חיבור ה- Proxy בכל צומת.
לפני שתתחיל
1 |
בדפדפן אינטרנט, פתח את ממשק צומת אבטחת הנתונים ההיברידי (כתובת/הגדרה של IP, לדוגמה, https://192.0.2.0/setup), הזן את אישורי הניהול שהגדרת עבור הצומת ולאחר מכן לחץ על היכנס. |
2 |
עבור אל סקירה כללית (דף ברירת המחדל). ![]() כאשר היא מופעלת, רזולוציית DNS חיצונית חסומה מוגדרת כ-Yes . |
3 |
עבור אל דף חנות האמון וה- Proxy . |
4 |
לחץ על בדוק חיבורProxy. אם אתה רואה הודעה המציינת כי רזולוציית DNS חיצונית לא הצליחה, הצומת לא הצליח להגיע לשרת ה- DNS ויישאר במצב זה. אחרת, לאחר שתפעיל מחדש את הצומת ותחזור לדף הסקירה הכללית , רזולוציית DNS חיצונית חסומה צריכה להיות מוגדרת ללא. |
מה הלאה?
הסרת צומת
1 |
השתמש בלקוח VMware vSphere במחשב שלך כדי להתחבר למארח הווירטואלי של ESXi ולכבות את המכונה הווירטואלית. |
2 |
הסר את הצומת: |
3 |
בלקוח vSphere, מחק את המכונה הווירטואלית. (בחלונית הניווט השמאלית, לחצו לחיצה ימנית על המכונה הווירטואלית ולחצו על מחק.) אם לא תמחק את המכונה הווירטואלית, זכור לבטל את טעינת קובץ ה-ISO של התצורה. ללא קובץ ה-ISO, לא ניתן להשתמש במכונה הווירטואלית כדי לגשת לנתוני האבטחה שלך. |
התאוששות מאסון באמצעות מרכז נתונים במצב המתנה
השירות הקריטי ביותר שמספק אשכול אבטחת הנתונים ההיברידי שלך הוא יצירה ואחסון של מפתחות המשמשים להצפנת הודעות ותוכן אחר המאוחסן בענן Webex. עבור כל משתמש בארגון המוקצה לאבטחת נתונים היברידית, בקשות חדשות ליצירת מפתחות מנותבות לאשכול. האשכול אחראי גם על החזרת המפתחות שהוא יצר לכל המשתמשים המורשים לאחזר אותם, לדוגמה, חברים במרחב שיחה.
מכיוון שהאשכול מבצע את הפונקציה הקריטית של אספקת מפתחות אלה, חיוני שהאשכול ימשיך לפעול וכי גיבויים תקינים יתוחזקו. אובדן מסד הנתונים של אבטחת נתונים היברידית או של תצורת ה-ISO המשמשת עבור הסכימה יביא לאובדן בלתי ניתן לשחזור של תוכן הלקוח. הנהלים הבאים הם חובה כדי למנוע אובדן כזה:
אם אסון גורם לפריסת ה-HDS במרכז הנתונים הראשי להפוך ללא זמינה, בצע הליך זה כדי לבצע מעבר ידני למרכז הנתונים המתנה.
לפני שתתחיל
1 |
הפעל את כלי הגדרת HDS ופעל לפי השלבים המוזכרים ב- צור קובץ ISO של תצורה עבור מארחי HDS. |
2 |
השלם את תהליך התצורה ושמור את קובץ ה-ISO במיקום שקל למצוא. |
3 |
צור עותק גיבוי של קובץ ה-ISO במערכת המקומית שלך. שמור את עותק הגיבוי בצורה מאובטחת. קובץ זה מכיל מפתח הצפנה ראשי עבור תוכן מסד הנתונים. הגבל את הגישה רק למנהלי אבטחת נתונים היברידית שצריכים לבצע שינויי תצורה. |
4 |
בחלונית הניווט השמאלית של לקוח VMware vSphere, לחץ באמצעות לחצן העכבר הימני על ה- VM ולחץ על ערוך הגדרות. |
5 |
לחץ על ערוך הגדרות >CD/DVD כונן 1 ובחר קובץ ISO של מאגר נתונים. ודא ש מחובר ו- התחבר בעת ההפעלה מסומנים כדי ששינויי תצורה מעודכנים יוכלו להיכנס לתוקף לאחר הפעלת הצמתים. |
6 |
הפעל את צומת ה-HDS וודא שאין אזעקות במשך 15 דקות לפחות. |
7 |
רשום את הצומת במרכז השותפים. עיין ב- רשום את הצומת הראשון באשכול. |
8 |
חזור על התהליך עבור כל צומת במרכז הנתונים המתנה. |
מה הלאה?
(אופציונלי) ניתוק ISO לאחר הגדרת HDS
תצורת ה-HDS הסטנדרטית פועלת כאשר ה-ISO מותקן. אבל, חלק מהלקוחות מעדיפים לא להשאיר קבצי ISO מורכבים באופן רציף. ניתן לבטל את טעינת קובץ ה-ISO לאחר שכל צמתי ה-HDS יאמצו את התצורה החדשה.
אתה עדיין משתמש בקבצי ה-ISO כדי לבצע שינויי תצורה. כשאתה יוצר ISO חדש או מעדכן ISO דרך כלי ההתקנה, עליך להרכיב את ה-ISO המעודכן בכל צמתי ה-HDS שלך. לאחר שכל הצמתים שלך אימצו את שינויי התצורה, תוכל לבטל שוב את ה-ISO באמצעות הליך זה.
לפני שתתחיל
שדרגו את כל צמתי ה-HDS שלכם לגרסה 2021.01.22.4720 או מאוחרת יותר.
1 |
כבה את אחד מצמתי ה-HDS שלך. |
2 |
ב-vCenter Server Appliance, בחר את צומת HDS. |
3 |
בחר קובץ ISO של מאגר נתונים. ובטל את הסימון של |
4 |
הפעל את צומת ה-HDS וודא שאין אזעקות במשך 20 דקות לפחות. |
5 |
חזור על הפעולה עבור כל צומת HDS בתורו. |
פתרון בעיות אבטחת נתונים היברידית
צפה בהתראות ופתור בעיות
פריסת אבטחת נתונים היברידית נחשבת לזמינה אם כל הצמתים באשכול אינם ניתנים להשגה, או שהאשכול פועל כל כך לאט שזמן הקצוב לבקשות מופסק. אם משתמשים אינם יכולים להגיע לאשכול אבטחת הנתונים ההיברידי שלך, הם חווים את התסמינים הבאים:
-
לא ניתן ליצור רווחים חדשים (לא ניתן ליצור מפתחות חדשים)
-
הודעות וכותרות חללים נכשלות בפענוח עבור:
-
משתמשים חדשים נוספו לחלל (לא ניתן לאחזר מפתחות)
-
משתמשים קיימים במרחב המשתמשים בלקוח חדש (לא ניתן לאחזר מפתחות)
-
-
משתמשים קיימים במרחב ימשיכו לפעול בהצלחה כל עוד ללקוחות שלהם יש מטמון של מפתחות ההצפנה
חשוב שתנטר כראוי את אשכול אבטחת הנתונים ההיברידי שלך ותתייחס לכל התראות במהירות כדי למנוע שיבושים בשירות.
התראות
אם יש בעיה בהגדרת אבטחת נתונים היברידית, מרכז השותפים מציג התראות למנהל הארגון ושולח הודעות דוא"ל לכתובת הדוא"ל שהוגדרה. ההתראות מכסות תרחישים נפוצים רבים.
התראה |
פעולה |
---|---|
כשל בגישה למסד נתונים מקומי. |
בדוק אם יש שגיאות במסד הנתונים או בעיות ברשת המקומית. |
כשל בחיבור מסד נתונים מקומי. |
ודא ששרת מסד הנתונים זמין, ושבוצעו שימוש בפרטי הגישה הנכונים של חשבון השירות בתצורת הצומת. |
כשל בגישה לשירות ענן. |
ודא שהצמתים יכולים לגשת לשרתי Webex כפי שצוין ב- דרישות קישוריות חיצוניות. |
חידוש רישום שירותי ענן. |
ההרשמה לשירותי ענן בוטלה. חידוש הרישום נמצא בעיצומו. |
רישום שירות הענן בוטל. |
ההרשמה לשירותי ענן הסתיימה. השירות נסגר. |
השירות טרם הופעל. |
הפעל את HDS במרכז השותפים. |
הדומיין שתצורתו נקבעה אינו תואם לאישור השרת. |
ודא שאישור השרת שלך תואם לדומיין הפעלת השירות שהוגדר. הסיבה הסבירה ביותר היא שמספר ה-CN של האישור שונה לאחרונה וכעת הוא שונה ממספר ה-CN ששימש במהלך ההתקנה הראשונית. |
נכשל באימות מול שירותי ענן. |
בדוק את הדיוק ואת האפשרות של תפוגת פרטי הגישה של חשבון השירות. |
נכשלה פתיחת קובץ מאגר המפתחות המקומי. |
בדוק את שלמות ודיוק הסיסמה בקובץ מאגר המפתחות המקומי. |
אישור השרת המקומי אינו חוקי. |
בדוק את תאריך התפוגה של אישור השרת וודא שהוא הונפק על ידי רשות אישורים מהימנה. |
לא ניתן לפרסם מדדים. |
בדוק את גישת הרשת המקומית לשירותי ענן חיצוניים. |
/media/configdrive/hds הספרייה אינה קיימת. |
בדוק את תצורת הרכבת ה-ISO במארח הווירטואלי. ודא שקובץ ה-ISO קיים, שהוא מוגדר לטעינה בעת אתחול מחדש, ושהוא נטען בהצלחה. |
הגדרת ארגון הדיירים לא הושלמה עבור הארגונים שנוספו |
השלם את ההתקנה על ידי יצירת CMKs עבור ארגוני דיירים חדשים שנוספו באמצעות כלי ההתקנה של HDS. |
הגדרת ארגון הדיירים לא הושלמה עבור הארגונים שהוסרו |
השלם את ההתקנה על ידי ביטול CMK של ארגוני דיירים שהוסרו באמצעות כלי ההתקנה של HDS. |
פתרון בעיות אבטחת נתונים היברידית
1 |
בדוק את Partner Hub עבור התראות ותקן את הפריטים שאתה מוצא שם. ראה את התמונה למטה לצורך התייחסות. |
2 |
סקור את פלט שרת ה-syslog עבור פעילות מפריסת אבטחת נתונים היברידית. סנן לפי מילים כמו "אזהרה" ו"שגיאה" כדי לסייע בפתרון בעיות. |
3 |
צרו קשר עם תמיכת סיסקו. |
הערות נוספות
בעיות ידועות באבטחת נתונים היברידית
-
אם תסגור את אשכול אבטחת הנתונים ההיברידי שלך (על ידי מחיקתו במרכז השותפים או על ידי סגירת כל הצמתים), תאבד את קובץ ה-ISO של התצורה שלך, או תאבד גישה למסד הנתונים של מאגר המפתחות, משתמשי אפליקציית Webex של ארגוני לקוחות לא יוכלו עוד להשתמש ברווחים תחת רשימת האנשים שלהם שנוצרו עם מפתחות ממערכת ניהול התוכן שלך. אין לנו כרגע פתרון או פתרון לבעיה זו, ואנחנו ממליצים לכם לא לסגור את שירותי ה-HDS שלכם ברגע שהם מטפלים בחשבונות משתמשים פעילים.
-
לקוח שיש לו חיבור ECDH קיים ל-KMS שומר על חיבור זה למשך פרק זמן מסוים (ככל הנראה שעה אחת).
הפעל את כלי הגדרת HDS באמצעות Podman Desktop
פודמן הוא כלי ניהול מכולות חינמי וקוד פתוח המספק דרך להפעיל, לנהל וליצור מכולות. ניתן להוריד את Podman Desktop מאתר https://podman-desktop.io/downloads.
-
כלי ההתקנה HDS פועל כמיכל Docker במחשב מקומי. כדי לגשת אליו, הורידו והפעילו את Podman על אותו מכונה. תהליך ההתקנה דורש את האישורים של חשבון Control Hub עם זכויות מנהל מערכת מלאות עבור הארגון שלך.
אם כלי הגדרת HDS פועל מאחורי פרוקסי בסביבה שלך, ספק את הגדרות הפרוקסי (שרת, יציאה, אישורים) דרך משתני סביבת Docker בעת פתיחת מכל Docker בשלב 5. טבלה זו מספקת כמה משתני סביבה אפשריים:
תיאור
משתנה
HTTP Proxy ללא אימות
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
פרוקסי HTTPS ללא אימות
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy עם אימות
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
פרוקסי HTTPS עם אימות
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
קובץ ה-ISO של התצורה שאתה יוצר מכיל את המפתח הראשי שמצפין את מסד הנתונים של PostgreSQL או Microsoft SQL Server. אתה זקוק לעותק העדכני ביותר של קובץ זה בכל פעם שאתה מבצע שינויי תצורה, כמו אלה:
-
אישורי מסד נתונים
-
עדכוני תעודות
-
שינויים במדיניות ההרשאה
-
-
אם אתם מתכננים להצפין חיבורי מסד נתונים, הגדר את פריסת PostgreSQL או SQL Server שלך עבור TLS.
תהליך ההגדרה של אבטחת נתונים היברידית יוצר קובץ ISO. לאחר מכן עליך להשתמש בקובץ ה-ISO כדי להגדיר את מארח אבטחת הנתונים ההיברידי שלך.
1 |
בשורת הפקודה של המחשב, הזן את הפקודה המתאימה לסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: שלב זה מנקה תמונות קודמות של כלי ההתקנה של HDS. אם אין תמונות קודמות, הוא מחזיר שגיאה שניתן להתעלם ממנה. |
2 |
כדי להיכנס לרישום התמונות Docker, הזן את הפרטים הבאים: |
3 |
בשורת הסיסמה, הזן גיבוב זה: |
4 |
הורד את התמונה היציבה העדכנית ביותר עבור הסביבה שלך: בסביבות רגילות: בסביבות FedRAMP: |
5 |
לאחר השלמת המשיכה, הזן את הפקודה המתאימה לסביבה שלך:
כאשר הגורם המכיל פועל, אתה רואה "האזנה לשרת אקספרס ביציאה 8080". |
מה הלאה?
העברת פריסת HDS קיימת של דייר יחיד של ארגון שותף ב-Control Hub להגדרת HDS מרובת דיירים ב-Partner Hub
ההמרה מפריסת HDS קיימת של דייר יחיד של ארגון שותף המנוהל ב-Control Hub לפריסת HDS מרובת דיירים המנוהלת ב-Partner Hub כרוכה בעיקר בביטול שירות HDS ב-Control Hub, ביטול רישום צמתים ומחיקת האשכול. לאחר מכן תוכל להתחבר למרכז השותפים, לרשום את הצמתים, להפעיל את HDS Multi-Tenant ולהוסיף לקוחות לאשכול שלך.
המונח "דייר יחיד" מתייחס פשוט לפריסת HDS קיימת ב- Control Hub.
ביטול הפעלת HDS, ביטול רישום של צמתים ומחיקת אשכול במרכז הבקרה
1 |
התחבר למרכז הבקרה. בחלונית השמאלית, לחץ על היברידי. בכרטיס אבטחת נתונים היברידית, לחץ על ערוך הגדרות |
2 |
בדף ההגדרות, גלול מטה אל הקטע "השבתה" ולחץ על "השבתה". |
3 |
לאחר הביטול, לחצו על הכרטיסייה משאבים. |
4 |
הדף משאבים מפרט את האשכולות בפריסת ה-HDS שלך. לחיצה על אשכול, ייפתח דף עם כל הצמתים תחת אשכול זה. |
5 |
לחץ על ... מימין ולאחר מכן לחץ על בטל רישום צומת. חזור על התהליך עבור כל הצמתים באשכול. |
6 |
אם הפריסה שלך כוללת מספר אשכולות, חזור על שלב 4 ושלב 5 עד שכל הצמתים יבוטלו מהרשימה. |
7 |
לחץ על הגדרות אשכול > הסר את . |
8 |
לחץ על אישור הסרה כדי לבטל את רישום האשכול. |
9 |
חזור על התהליך עבור כל האשכולות בפריסת ה-HDS שלך. לאחר ביטול הפעלה של HDS, ביטול רישום של צמתים והסרת אשכולות, כרטיס שירות הנתונים ההיברידי במרכז הבקרה יציג את הכיתוב ההתקנה לא הושלמה בתחתית. |
הפעלת HDS רב-דיירים עבור ארגון השותפים במרכז השותפים והוספת לקוחות
לפני שתתחיל
כל הדרישות המקדימות המוזכרות ב- דרישות לאבטחת נתונים היברידית מרובת דיירים חלות כאן. בנוסף, יש לוודא שאותו מסד נתונים ואישורים משמשים במהלך המעבר ל-HDS רב-דיירים.
1 |
התחבר למרכז השותפים. לחץ על שירותים בחלונית השמאלית. השתמש באותו קוד ISO מפריסת ה-HDS הקודמת שלך כדי להגדיר את הצמתים. פעולה זו תבטיח שהודעות ותוכן שנוצרו על ידי המשתמשים בפריסת HDS הקודמת הקיימת עדיין יהיו נגישים בהגדרה החדשה של Multi-Tenant. |
2 |
במקטע שירותי ענן, מצא את הכרטיס אבטחת נתונים היברידית ולחץ על הגדר. |
3 |
בדף שנפתח, לחצו על הוספת משאב. |
4 |
בשדה הראשון של הכרטיס הוסף צומת, הזן שם עבור האשכול שאליו ברצונך להקצות את צומת אבטחת הנתונים ההיברידית שלך. אנו ממליצים לתת שם לאשכול בהתבסס על מיקום צמתים של האשכול מבחינה גיאוגרפית. דוגמאות: "סן פרנסיסקו" או "ניו יורק" או "דאלאס" |
5 |
בשדה השני, הזן את כתובת ה-IP הפנימית או את שם הדומיין המלא (FQDN) של הצומת שלך ולחץ על הוסף בתחתית המסך. כתובת ה-IP או ה-FQDN הזו צריכים להתאים לכתובת ה-IP או לשם המארח והדומיין שבהם השתמשת ב- הגדרת מכונת אבטחת נתונים היברידית. מופיעה הודעה המציינת שבאפשרותך לרשום את הצומת שלך ב-Webex.
|
6 |
לחץ על עבור אל צומת. לאחר מספר רגעים, תועברו לבדיקות קישוריות הצומת עבור שירותי Webex. אם כל הבדיקות יעברו בהצלחה, יופיע הדף אפשר גישה לצומת אבטחת נתונים היברידי. שם, עליך לאשר שברצונך להעניק לארגון Webex שלך הרשאות גישה לצומת שלך. |
7 |
סמן את תיבת הסימון אפשר גישה לצומת אבטחת הנתונים ההיברידי שלך ולאחר מכן לחץ על המשך. החשבון שלך אומת וההודעה "ההרשמה הושלמה" מציינת שהצומת שלך רשום כעת ב-Webex Cloud. בדף אבטחת נתונים היברידית, האשכול החדש המכיל את הצומת שרשמת מוצג תחת הכרטיסייה משאבים. הצומת יוריד אוטומטית את התוכנה העדכנית ביותר מהענן.
|
8 |
עבור אל הכרטיסייה הגדרות ולחץ על הפעל בכרטיס סטטוס HDS. ההודעהHDS הופעל תופיע בתחתית המסך.
|
9 |
ב משאבים, לחץ על האשכול החדש שנוצר. |
10 |
בדף שנפתח, לחצו על הכרטיסייה לקוחות שהוקצו. |
11 |
לחץ על הוסף לקוחות. |
12 |
בחר את הלקוח שברצונך להוסיף מהתפריט הנפתח. |
13 |
לחץ על הוסף, הלקוח יתווסף לאשכול. |
14 |
חזור על שלבים 11 עד 13 כדי להוסיף מספר לקוחות לאשכול שלך. |
15 |
לחץ על סיום בתחתית המסך לאחר הוספת הלקוחות. |
מה הלאה?
השתמש ב-OpenSSL כדי ליצור קובץ PKCS12
לפני שתתחיל
-
OpenSSL הוא כלי אחד שניתן להשתמש בו כדי ליצור את קובץ PKCS12 בפורמט המתאים לטעינה בכלי ההתקנה של HDS. ישנן דרכים אחרות לעשות זאת, ואנחנו לא תומכים או מקדמים דרך אחת על פני אחרת.
-
אם בכל זאת תבחרו להשתמש ב-OpenSSL, אנו מספקים הליך זה כהנחיה שיעזור לכם ליצור קובץ העומד בדרישות אישור X.509 ב- דרישות אישור X.509. הבן את הדרישות הללו לפני שתמשיך.
-
התקן את OpenSSL בסביבה נתמכת. ראה https://www.openssl.org עבור התוכנה והתיעוד.
-
צור מפתח פרטי.
-
התחל הליך זה כאשר אתה מקבל את אישור השרת מרשות האישורים (CA) שלך.
1 |
כאשר תקבל את אישור השרת מ-CA שלך, שמור אותו בשם |
2 |
הצג את האישור כטקסט ואמת את הפרטים.
|
3 |
השתמש בעורך טקסט כדי ליצור קובץ חבילת אישורים בשם
|
4 |
צור את קובץ ה-.p12 עם השם הידידותי
|
5 |
בדוק את פרטי אישור השרת. |
מה הלאה?
חזור אל השלם את הדרישות המוקדמות לאבטחת נתונים היברידית. תשתמשו בקובץ hdsnode.p12
ובסיסמה שהגדרתם עבורו, תחת צור קובץ ISO של תצורה עבור מארחי HDS.
באפשרותך לעשות שימוש חוזר בקבצים אלה כדי לבקש אישור חדש כאשר האישור המקורי יפוג תוקפו.
תעבורה בין צמתי HDS לענן
איסוף מדדים יוצאים של תנועה
צמתי אבטחת נתונים היברידיים שולחים מדדים מסוימים לענן Webex. אלה כוללים מדדי מערכת עבור ערימה מקסימלית, ערימה בשימוש, עומס CPU וספירת הליכים; מדדים על הליכים סינכרוניים ואסינכרוניים; מדדים על התראות הכרוכות בסף של חיבורי הצפנה, השהייה או אורך תור בקשות; מדדים על מאגר הנתונים; ומדדי חיבור הצפנה. הצמתים שולחים חומר מפתח מוצפן דרך ערוץ מחוץ לפס (נפרד מהבקשה).
תנועה נכנסת
צמתי אבטחת נתונים היברידיים מקבלים את סוגי התעבורה הנכנסת הבאים מענן Webex:
-
בקשות הצפנה מלקוחות, המנותבות על ידי שירות ההצפנה
-
שדרוגים לתוכנת הצומת
הגדרת פרוקסי Squid עבור אבטחת נתונים היברידית
Websocket לא יכול להתחבר באמצעות פרוקסי דיונון
שרתים פרוקסיים של Squid שבודקים תעבורת HTTPS עלולים להפריע ליצירת חיבורי websocket (wss:
) הנדרשים על ידי Hybrid Data Security. סעיפים אלה מספקים הנחיות כיצד להגדיר גרסאות שונות של Squid להתעלם מתעבורה wss:
לצורך פעולה תקינה של השירותים.
דיונון 4 ו-5
הוסף את הפקודה on_unsupported_protocol
ל- squid.conf
:
on_unsupported_protocol tunnel all
דיונון 3.5.27
בדקנו בהצלחה אבטחת נתונים היברידית עם הכללים הבאים שנוספו ל- squid.conf
. כללים אלה כפופים לשינויים כאשר אנו מפתחים תכונות ומעדכנים את ענן Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all