Előfordulhat, hogy egyes cikkek tartalma nem következetesen jelenik meg. Egy kis türelmet kérünk, amíg frissítjük az oldalunkat.
cross icon
Ebben a cikkben
dropdown icon
Előszó
    Új és módosított információk
    dropdown icon
    Első lépések a Hybrid Data Security használatában
      Hibrid adatbiztonsági áttekintés
        dropdown icon
        Biztonsági birodalmi architektúra
          Az elkülönítés tartományai (hibrid adatbiztonság nélkül)
        Együttműködés más szervezetekkel
          A hibrid adatbiztonság telepítésével kapcsolatos elvárások
            Magas szintű telepítési folyamat
              dropdown icon
              Hibrid adatbiztonsági telepítési modell
                Hibrid adatbiztonsági telepítési modell
              Hibrid adatbiztonsági próba mód
                dropdown icon
                Készenléti adatközpont vész-helyreállításhoz
                  Készenléti adatközpont beállítása vész-helyreállításhoz
                Proxy támogatás
                dropdown icon
                Készítse fel környezetét
                  dropdown icon
                  A hibrid adatbiztonság követelményei
                    Cisco Webex licenckövetelmények
                    Docker asztali követelmények
                    X.509 Tanúsítványkövetelmények
                    Virtuális kiszolgálóra vonatkozó követelmények
                    Adatbázis-kiszolgáló követelményei
                    Külső csatlakozási követelmények
                    Proxykiszolgálói követelmények
                  Töltse ki a hibrid adatbiztonság előfeltételeit
                  dropdown icon
                  Hibrid adatbiztonsági fürt beállítása
                    Hibrid adatbiztonsági telepítési feladatfolyamat
                      Telepítési fájlok letöltése
                        Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
                          Telepítse a HDS Host OVA alkalmazást
                            Állítsa be a Hybrid Data Security VM
                              Töltse fel és szerelje fel a HDS konfigurációs ISO -t
                                A HDS-csomópont konfigurálása proxyintegrációhoz
                                  Regisztrálja az Első csomópontot a fürtben
                                    További csomópontok létrehozása és regisztrálása
                                    dropdown icon
                                    Futtasson le egy próbaidőszakot, és térjen át éles verzióra
                                      A próbaidőszakból a gyártási feladatfolyamat
                                        Próbaidőszak aktiválása
                                          Tesztelje hibrid adatbiztonsági telepítését
                                            A Hybrid Data Security állapotának figyelése
                                              Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
                                                Áthelyezés próbaidőszakról élesre
                                                  Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
                                                  dropdown icon
                                                  A HDS-telepítés kezelése
                                                    HDS-telepítés kezelése
                                                      Fürtfrissítési ütemezés beállítása
                                                        Módosítsa a csomópont-konfigurációt
                                                          A blokkolt külső DNS-feloldási mód kikapcsolása
                                                            Csomópont eltávolítása
                                                              Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
                                                                (Opcionális) Az ISO leválasztása a HDS-konfiguráció után
                                                                dropdown icon
                                                                Hibrid adatbiztonsági hibaelhárítás
                                                                  Figyelmeztetések és hibaelhárítás megtekintése
                                                                    dropdown icon
                                                                    Riasztások
                                                                      Gyakori problémák és megoldásuk lépései
                                                                    Hibrid adatbiztonsági hibaelhárítás
                                                                    dropdown icon
                                                                    Egyéb megjegyzések
                                                                      A hibrid adatbiztonsággal kapcsolatos ismert problémák
                                                                        Az OpenSSL használata PKCS12-fájl létrehozásához
                                                                          Forgalom a HDS-csomópontok és a felhő között
                                                                            dropdown icon
                                                                            Squid-proxyk konfigurálása hibrid adatbiztonsághoz
                                                                              A Websocket nem tud tintahal-proxyn keresztül csatlakozni
                                                                          Ebben a cikkben
                                                                          cross icon
                                                                          dropdown icon
                                                                          Előszó
                                                                            Új és módosított információk
                                                                            dropdown icon
                                                                            Első lépések a Hybrid Data Security használatában
                                                                              Hibrid adatbiztonsági áttekintés
                                                                                dropdown icon
                                                                                Biztonsági birodalmi architektúra
                                                                                  Az elkülönítés tartományai (hibrid adatbiztonság nélkül)
                                                                                Együttműködés más szervezetekkel
                                                                                  A hibrid adatbiztonság telepítésével kapcsolatos elvárások
                                                                                    Magas szintű telepítési folyamat
                                                                                      dropdown icon
                                                                                      Hibrid adatbiztonsági telepítési modell
                                                                                        Hibrid adatbiztonsági telepítési modell
                                                                                      Hibrid adatbiztonsági próba mód
                                                                                        dropdown icon
                                                                                        Készenléti adatközpont vész-helyreállításhoz
                                                                                          Készenléti adatközpont beállítása vész-helyreállításhoz
                                                                                        Proxy támogatás
                                                                                        dropdown icon
                                                                                        Készítse fel környezetét
                                                                                          dropdown icon
                                                                                          A hibrid adatbiztonság követelményei
                                                                                            Cisco Webex licenckövetelmények
                                                                                            Docker asztali követelmények
                                                                                            X.509 Tanúsítványkövetelmények
                                                                                            Virtuális kiszolgálóra vonatkozó követelmények
                                                                                            Adatbázis-kiszolgáló követelményei
                                                                                            Külső csatlakozási követelmények
                                                                                            Proxykiszolgálói követelmények
                                                                                          Töltse ki a hibrid adatbiztonság előfeltételeit
                                                                                          dropdown icon
                                                                                          Hibrid adatbiztonsági fürt beállítása
                                                                                            Hibrid adatbiztonsági telepítési feladatfolyamat
                                                                                              Telepítési fájlok letöltése
                                                                                                Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
                                                                                                  Telepítse a HDS Host OVA alkalmazást
                                                                                                    Állítsa be a Hybrid Data Security VM
                                                                                                      Töltse fel és szerelje fel a HDS konfigurációs ISO -t
                                                                                                        A HDS-csomópont konfigurálása proxyintegrációhoz
                                                                                                          Regisztrálja az Első csomópontot a fürtben
                                                                                                            További csomópontok létrehozása és regisztrálása
                                                                                                            dropdown icon
                                                                                                            Futtasson le egy próbaidőszakot, és térjen át éles verzióra
                                                                                                              A próbaidőszakból a gyártási feladatfolyamat
                                                                                                                Próbaidőszak aktiválása
                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését
                                                                                                                    A Hybrid Data Security állapotának figyelése
                                                                                                                      Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
                                                                                                                        Áthelyezés próbaidőszakról élesre
                                                                                                                          Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
                                                                                                                          dropdown icon
                                                                                                                          A HDS-telepítés kezelése
                                                                                                                            HDS-telepítés kezelése
                                                                                                                              Fürtfrissítési ütemezés beállítása
                                                                                                                                Módosítsa a csomópont-konfigurációt
                                                                                                                                  A blokkolt külső DNS-feloldási mód kikapcsolása
                                                                                                                                    Csomópont eltávolítása
                                                                                                                                      Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
                                                                                                                                        (Opcionális) Az ISO leválasztása a HDS-konfiguráció után
                                                                                                                                        dropdown icon
                                                                                                                                        Hibrid adatbiztonsági hibaelhárítás
                                                                                                                                          Figyelmeztetések és hibaelhárítás megtekintése
                                                                                                                                            dropdown icon
                                                                                                                                            Riasztások
                                                                                                                                              Gyakori problémák és megoldásuk lépései
                                                                                                                                            Hibrid adatbiztonsági hibaelhárítás
                                                                                                                                            dropdown icon
                                                                                                                                            Egyéb megjegyzések
                                                                                                                                              A hibrid adatbiztonsággal kapcsolatos ismert problémák
                                                                                                                                                Az OpenSSL használata PKCS12-fájl létrehozásához
                                                                                                                                                  Forgalom a HDS-csomópontok és a felhő között
                                                                                                                                                    dropdown icon
                                                                                                                                                    Squid-proxyk konfigurálása hibrid adatbiztonsághoz
                                                                                                                                                      A Websocket nem tud tintahal-proxyn keresztül csatlakozni
                                                                                                                                                  Telepítési útmutató a Webex Hybrid Data Security alkalmazáshoz
                                                                                                                                                  list-menuEbben a cikkben
                                                                                                                                                  Előszó

                                                                                                                                                  Új és módosított információk

                                                                                                                                                  Dátum

                                                                                                                                                  Végrehajtott módosítások

                                                                                                                                                  2023. október 20

                                                                                                                                                  2023. augusztus 07

                                                                                                                                                  2023. május 23

                                                                                                                                                  2022. december 06

                                                                                                                                                  2022. november 23

                                                                                                                                                  2021. október 13

                                                                                                                                                  A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

                                                                                                                                                  2021. június 24

                                                                                                                                                  Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

                                                                                                                                                  2021. április 30.

                                                                                                                                                  Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

                                                                                                                                                  2021. február 24

                                                                                                                                                  A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

                                                                                                                                                  2021. február 2

                                                                                                                                                  A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  2021. január 11

                                                                                                                                                  További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2020. október 13

                                                                                                                                                  Frissítve Telepítési fájlok letöltése .

                                                                                                                                                  2020. október 8.

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

                                                                                                                                                  2020. augusztus 14

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

                                                                                                                                                  2020. augusztus 5

                                                                                                                                                  Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

                                                                                                                                                  2020. június 16

                                                                                                                                                  Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

                                                                                                                                                  2020. június 4

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

                                                                                                                                                  2020. május 29

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

                                                                                                                                                  2020. május 5

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

                                                                                                                                                  2020. április 21.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

                                                                                                                                                  2020. április 1.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

                                                                                                                                                  2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
                                                                                                                                                  2020. február 4Frissítve Proxykiszolgáló követelményei .
                                                                                                                                                  2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
                                                                                                                                                  2019. november 19

                                                                                                                                                  A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

                                                                                                                                                  2019. november 8

                                                                                                                                                  Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

                                                                                                                                                  Ennek megfelelően frissítette a következő szakaszokat:


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  2019. szeptember 6

                                                                                                                                                  SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

                                                                                                                                                  2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
                                                                                                                                                  2019. augusztus 20

                                                                                                                                                  Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

                                                                                                                                                  Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

                                                                                                                                                  2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
                                                                                                                                                  2019. március 6
                                                                                                                                                  2019. február 28.
                                                                                                                                                  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

                                                                                                                                                  2019. február 26.
                                                                                                                                                  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

                                                                                                                                                  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

                                                                                                                                                  2019. január 24

                                                                                                                                                  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


                                                                                                                                                     

                                                                                                                                                    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

                                                                                                                                                  2018. november 5
                                                                                                                                                  2018. október 19

                                                                                                                                                  2018. július 31

                                                                                                                                                  2018. május 21.

                                                                                                                                                  Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

                                                                                                                                                  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

                                                                                                                                                  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

                                                                                                                                                  • A Cisco Collaboraton felhő mostantól Webex felhő.

                                                                                                                                                  2018. április 11
                                                                                                                                                  2018. február 22
                                                                                                                                                  2018. február 15.
                                                                                                                                                  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  2018. január 18.

                                                                                                                                                  2017. november 2

                                                                                                                                                  • A HdsTrialGroup pontosított címtár-szinkronizálása.

                                                                                                                                                  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

                                                                                                                                                  2017. augusztus 18

                                                                                                                                                  Első közzététel

                                                                                                                                                  Első lépések a Hybrid Data Security használatában

                                                                                                                                                  Hibrid adatbiztonsági áttekintés

                                                                                                                                                  A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

                                                                                                                                                  Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

                                                                                                                                                  Biztonsági birodalmi architektúra

                                                                                                                                                  A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

                                                                                                                                                  Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

                                                                                                                                                  A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

                                                                                                                                                  Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

                                                                                                                                                  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

                                                                                                                                                  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

                                                                                                                                                  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

                                                                                                                                                  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

                                                                                                                                                  A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

                                                                                                                                                  Együttműködés más szervezetekkel

                                                                                                                                                  A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

                                                                                                                                                  Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

                                                                                                                                                  A hibrid adatbiztonság telepítésével kapcsolatos elvárások

                                                                                                                                                  A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

                                                                                                                                                  A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

                                                                                                                                                  A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

                                                                                                                                                  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

                                                                                                                                                  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


                                                                                                                                                   

                                                                                                                                                  A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

                                                                                                                                                  Magas szintű telepítési folyamat

                                                                                                                                                  Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

                                                                                                                                                  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

                                                                                                                                                    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

                                                                                                                                                  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

                                                                                                                                                  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

                                                                                                                                                  A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

                                                                                                                                                  A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

                                                                                                                                                  A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

                                                                                                                                                  Szervezetenként csak egyetlen fürtöt támogatunk.

                                                                                                                                                  Hibrid adatbiztonsági próba mód

                                                                                                                                                  A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

                                                                                                                                                  Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

                                                                                                                                                  Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

                                                                                                                                                  Készenléti adatközpont vész-helyreállításhoz

                                                                                                                                                  A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Kézi feladatátvétel a készenléti adatközpontba

                                                                                                                                                  Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


                                                                                                                                                   

                                                                                                                                                  Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

                                                                                                                                                  Készenléti adatközpont beállítása vész-helyreállításhoz

                                                                                                                                                  Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

                                                                                                                                                  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

                                                                                                                                                  Proxy támogatás

                                                                                                                                                  A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

                                                                                                                                                  A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

                                                                                                                                                      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

                                                                                                                                                      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                  Példa hibrid adatbiztonsági csomópontokra és proxyra

                                                                                                                                                  Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

                                                                                                                                                  Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  A hibrid adatbiztonság követelményei

                                                                                                                                                  Cisco Webex licenckövetelmények

                                                                                                                                                  A Hybrid Data Security üzembe helyezése:

                                                                                                                                                  Docker asztali követelmények

                                                                                                                                                  A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

                                                                                                                                                  X.509 Tanúsítványkövetelmények

                                                                                                                                                  A tanúsítványlánc meg kell felelnie a következő követelményeknek:

                                                                                                                                                  1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

                                                                                                                                                  Követelmény

                                                                                                                                                  részletei

                                                                                                                                                  • Megbízható Certificate Authority (CA) írta alá

                                                                                                                                                  Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

                                                                                                                                                  • Nem helyettesítő karakteres tanúsítvány

                                                                                                                                                  A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

                                                                                                                                                  A CN nem tartalmazhat * karaktert (cserélő karakter).

                                                                                                                                                  A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

                                                                                                                                                  • Nem SHA1 aláírás

                                                                                                                                                  A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

                                                                                                                                                  • Jelszóval védett PKCS #12-fájlként formázva

                                                                                                                                                  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

                                                                                                                                                  A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

                                                                                                                                                  A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

                                                                                                                                                  A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

                                                                                                                                                  Virtuális kiszolgálóra vonatkozó követelmények

                                                                                                                                                  A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

                                                                                                                                                  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

                                                                                                                                                  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


                                                                                                                                                     

                                                                                                                                                    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

                                                                                                                                                  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

                                                                                                                                                  Adatbázis-kiszolgáló követelményei


                                                                                                                                                   

                                                                                                                                                  Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

                                                                                                                                                  Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

                                                                                                                                                  2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

                                                                                                                                                  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


                                                                                                                                                     

                                                                                                                                                    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC illesztőprogram 42.2.5

                                                                                                                                                  SQL Server JDBC illesztőprogram 4.6

                                                                                                                                                  Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

                                                                                                                                                  További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

                                                                                                                                                  Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

                                                                                                                                                  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

                                                                                                                                                  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

                                                                                                                                                  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

                                                                                                                                                  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

                                                                                                                                                    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

                                                                                                                                                  Külső csatlakozási követelmények

                                                                                                                                                  Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

                                                                                                                                                  Alkalmazás

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Útvonal az alkalmazásból

                                                                                                                                                  Cél

                                                                                                                                                  Hibrid adatbiztonsági csomópontok

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS és WSS

                                                                                                                                                  • Webex szerverek:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

                                                                                                                                                  HDS beállító eszköz

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

                                                                                                                                                  A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

                                                                                                                                                  Régió

                                                                                                                                                  Common Identity Host URL-ek

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európai Unió

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxykiszolgáló követelményei

                                                                                                                                                  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

                                                                                                                                                    • Átlátszó proxy— Cisco web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

                                                                                                                                                  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

                                                                                                                                                    • Nincs hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Kivonatalapú hitelesítés csak HTTPS-sel

                                                                                                                                                  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

                                                                                                                                                  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

                                                                                                                                                  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

                                                                                                                                                  Töltse ki a hibrid adatbiztonság előfeltételeit

                                                                                                                                                  Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
                                                                                                                                                  1

                                                                                                                                                  Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

                                                                                                                                                  2

                                                                                                                                                  Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

                                                                                                                                                  3

                                                                                                                                                  Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

                                                                                                                                                  4

                                                                                                                                                  Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

                                                                                                                                                  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

                                                                                                                                                  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

                                                                                                                                                    • a szervező neve vagy IP-cím (gazdagépét) és portját

                                                                                                                                                    • a kulcstároláshoz szükséges adatbázis neve (dbname).

                                                                                                                                                    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

                                                                                                                                                  5

                                                                                                                                                  A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

                                                                                                                                                  6

                                                                                                                                                  Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


                                                                                                                                                   

                                                                                                                                                  Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

                                                                                                                                                  A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

                                                                                                                                                  8

                                                                                                                                                  Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

                                                                                                                                                  9

                                                                                                                                                  A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

                                                                                                                                                  A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

                                                                                                                                                  A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

                                                                                                                                                  10

                                                                                                                                                  Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

                                                                                                                                                  11

                                                                                                                                                  Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


                                                                                                                                                   

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

                                                                                                                                                  Hibrid adatbiztonsági fürt beállítása

                                                                                                                                                  Hibrid adatbiztonsági telepítési feladatfolyamat

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  1

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

                                                                                                                                                  2

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

                                                                                                                                                  3

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  4

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

                                                                                                                                                  5

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

                                                                                                                                                  6

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

                                                                                                                                                  7

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

                                                                                                                                                  8

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Fejezze be a fürt beállítását.

                                                                                                                                                  9

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

                                                                                                                                                  A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

                                                                                                                                                  Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


                                                                                                                                                   

                                                                                                                                                  Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


                                                                                                                                                   

                                                                                                                                                  A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

                                                                                                                                                  3

                                                                                                                                                  Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

                                                                                                                                                  Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
                                                                                                                                                  4

                                                                                                                                                  Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

                                                                                                                                                    • Adatbázis hitelesítő adatok

                                                                                                                                                    • Tanúsítványfrissítések

                                                                                                                                                    • Az engedélyezési házirend változásai

                                                                                                                                                  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

                                                                                                                                                  1

                                                                                                                                                  A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2

                                                                                                                                                  A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  • Normál környezetben proxy nélkül:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTP proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTPS-proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

                                                                                                                                                  Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

                                                                                                                                                  7

                                                                                                                                                  Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

                                                                                                                                                  8

                                                                                                                                                  A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

                                                                                                                                                  9

                                                                                                                                                  A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

                                                                                                                                                  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
                                                                                                                                                  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
                                                                                                                                                  10

                                                                                                                                                  Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

                                                                                                                                                  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  11

                                                                                                                                                  Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

                                                                                                                                                  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

                                                                                                                                                    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

                                                                                                                                                  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

                                                                                                                                                    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

                                                                                                                                                    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

                                                                                                                                                  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

                                                                                                                                                    Példa:
                                                                                                                                                    dbhost.example.org:1433 vagy 198.51.100.17:1433

                                                                                                                                                    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

                                                                                                                                                    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

                                                                                                                                                  4. Adja meg a Adatbázis neve .

                                                                                                                                                  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

                                                                                                                                                  12

                                                                                                                                                  Válassza ki a TLS adatbázis-kapcsolati mód :

                                                                                                                                                  Mód

                                                                                                                                                  Leírás

                                                                                                                                                  TLS előnyben részesítése (alapértelmezett lehetőség)

                                                                                                                                                  A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

                                                                                                                                                  TLS szükséges

                                                                                                                                                  A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  TLS megkövetelése és tanúsítványaláíró ellenőrzése


                                                                                                                                                   

                                                                                                                                                  Ez a mód nem alkalmazható SQL Server adatbázisokra.

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

                                                                                                                                                  13

                                                                                                                                                  A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

                                                                                                                                                  1. Adja meg a syslog szerver URL-címét .

                                                                                                                                                    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

                                                                                                                                                    Példa:
                                                                                                                                                    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.
                                                                                                                                                  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

                                                                                                                                                    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

                                                                                                                                                  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

                                                                                                                                                  4. Kattintson a Folytatás gombra.

                                                                                                                                                  14

                                                                                                                                                  (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

                                                                                                                                                  A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

                                                                                                                                                  16

                                                                                                                                                  Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  17

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

                                                                                                                                                  Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  18

                                                                                                                                                  A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


                                                                                                                                                   

                                                                                                                                                  Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

                                                                                                                                                  2

                                                                                                                                                  Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

                                                                                                                                                  3

                                                                                                                                                  A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

                                                                                                                                                  4

                                                                                                                                                  A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

                                                                                                                                                  Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

                                                                                                                                                  6

                                                                                                                                                  Ellenőrizze a sablon részleteit, majd kattintson Következő .

                                                                                                                                                  7

                                                                                                                                                  Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

                                                                                                                                                  8

                                                                                                                                                  A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

                                                                                                                                                  9

                                                                                                                                                  A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

                                                                                                                                                  10

                                                                                                                                                  A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

                                                                                                                                                  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

                                                                                                                                                     
                                                                                                                                                    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

                                                                                                                                                    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

                                                                                                                                                  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

                                                                                                                                                     

                                                                                                                                                    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
                                                                                                                                                  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
                                                                                                                                                  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
                                                                                                                                                  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.
                                                                                                                                                  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

                                                                                                                                                  Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  11

                                                                                                                                                  Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

                                                                                                                                                  A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

                                                                                                                                                  Hibaelhárítási tippek

                                                                                                                                                  Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

                                                                                                                                                  1

                                                                                                                                                  A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

                                                                                                                                                  A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
                                                                                                                                                  2

                                                                                                                                                  Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

                                                                                                                                                  1. Bejelentkezés: admin

                                                                                                                                                  2. Jelszó: cisco

                                                                                                                                                  Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

                                                                                                                                                  3

                                                                                                                                                  Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

                                                                                                                                                  4

                                                                                                                                                  Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  5

                                                                                                                                                  (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

                                                                                                                                                  Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                  6

                                                                                                                                                  Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

                                                                                                                                                  1

                                                                                                                                                  Töltse fel az ISO fájlt a számítógépéről:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

                                                                                                                                                  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

                                                                                                                                                  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

                                                                                                                                                  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

                                                                                                                                                  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

                                                                                                                                                  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

                                                                                                                                                  2

                                                                                                                                                  Az ISO fájl csatolása:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  1

                                                                                                                                                  Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:
                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak HTTPS-proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                  Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

                                                                                                                                                  3

                                                                                                                                                  Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

                                                                                                                                                  A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

                                                                                                                                                  Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

                                                                                                                                                  Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

                                                                                                                                                  5

                                                                                                                                                  Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

                                                                                                                                                  6

                                                                                                                                                  Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

                                                                                                                                                  A csomópont néhány percen belül újraindul.

                                                                                                                                                  7

                                                                                                                                                  Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

                                                                                                                                                  A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

                                                                                                                                                  Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
                                                                                                                                                  4

                                                                                                                                                  Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

                                                                                                                                                  Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

                                                                                                                                                  6

                                                                                                                                                  A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                  Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
                                                                                                                                                  7

                                                                                                                                                  Kattintson Lépjen a Node-ra .

                                                                                                                                                  8

                                                                                                                                                  Kattintson Folytatás a figyelmeztető üzenet.

                                                                                                                                                  Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
                                                                                                                                                  9

                                                                                                                                                  Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                  Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  10

                                                                                                                                                  Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

                                                                                                                                                   

                                                                                                                                                  Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

                                                                                                                                                  2

                                                                                                                                                  Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  3

                                                                                                                                                  Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

                                                                                                                                                  4

                                                                                                                                                  Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

                                                                                                                                                  5

                                                                                                                                                  Regisztrálja a csomópontot.

                                                                                                                                                  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

                                                                                                                                                    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.
                                                                                                                                                  3. Kattintson Erőforrás hozzáadása elemre .

                                                                                                                                                  4. Az első mezőben válassza ki a meglévő fürt nevét.

                                                                                                                                                  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.
                                                                                                                                                  6. Kattintson Lépjen a Node-ra .

                                                                                                                                                    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.
                                                                                                                                                  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra

                                                                                                                                                  A próbaidőszakból a gyártási feladatfolyamat

                                                                                                                                                  Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

                                                                                                                                                  1

                                                                                                                                                  Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  2

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  3

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

                                                                                                                                                  4

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

                                                                                                                                                  5

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  6

                                                                                                                                                  Fejezze be a próbaidőszakot a következő műveletek egyikével:

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

                                                                                                                                                  A szolgáltatás állapota próba módra változik.
                                                                                                                                                  4

                                                                                                                                                  Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

                                                                                                                                                  (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Állítsa be a Hybrid Data Security telepítését.

                                                                                                                                                  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

                                                                                                                                                  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


                                                                                                                                                   

                                                                                                                                                  Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

                                                                                                                                                  2

                                                                                                                                                  Üzenetek küldése az új szobába.

                                                                                                                                                  3

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
                                                                                                                                                  1

                                                                                                                                                  Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági beállítások oldal.
                                                                                                                                                  3

                                                                                                                                                  Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

                                                                                                                                                  Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

                                                                                                                                                  4

                                                                                                                                                  Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

                                                                                                                                                  Áthelyezés próbaidőszakról élesre

                                                                                                                                                  Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

                                                                                                                                                  Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

                                                                                                                                                  Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Deaktiválás részben kattintson a gombra Inaktiválás .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

                                                                                                                                                  A HDS-telepítés kezelése

                                                                                                                                                  HDS-telepítés kezelése

                                                                                                                                                  Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

                                                                                                                                                  Fürtfrissítési ütemezés beállítása

                                                                                                                                                  A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

                                                                                                                                                  A frissítés ütemezésének beállítása:

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

                                                                                                                                                  4

                                                                                                                                                  A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

                                                                                                                                                  5

                                                                                                                                                  A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

                                                                                                                                                  Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

                                                                                                                                                  Módosítsa a csomópont-konfigurációt

                                                                                                                                                  Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:
                                                                                                                                                  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

                                                                                                                                                  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

                                                                                                                                                  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

                                                                                                                                                  Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

                                                                                                                                                  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

                                                                                                                                                  • Hard reset — A régi jelszavak azonnal leállnak.

                                                                                                                                                  Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

                                                                                                                                                  Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

                                                                                                                                                  1

                                                                                                                                                  A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

                                                                                                                                                  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

                                                                                                                                                  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    • Normál környezetben proxy nélkül:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTP proxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTPSproxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

                                                                                                                                                  8. Importálja az aktuális konfigurációs ISO -fájlt.

                                                                                                                                                  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

                                                                                                                                                    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

                                                                                                                                                  2

                                                                                                                                                  Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

                                                                                                                                                  1. Telepítse a HDS-gazda OVA-t.

                                                                                                                                                  2. Állítsa be a HDS VM.

                                                                                                                                                  3. Csatlakoztassa a frissített konfigurációs fájl.

                                                                                                                                                  4. Regisztrálja az új csomópontot a Control Hubban.

                                                                                                                                                  3

                                                                                                                                                  A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

                                                                                                                                                  1. Kapcsolja ki a virtuális gép.

                                                                                                                                                  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

                                                                                                                                                  4

                                                                                                                                                  Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

                                                                                                                                                  Kapcsolja ki a Blokkolt külső DNS -feloldási módot

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

                                                                                                                                                  Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
                                                                                                                                                  1

                                                                                                                                                  Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Áttekintés (az alapértelmezett oldal).

                                                                                                                                                  Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

                                                                                                                                                  3

                                                                                                                                                  Lépjen a következőre: Trust Store és Proxy oldalon.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot .

                                                                                                                                                  Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

                                                                                                                                                  Csomópont eltávolítása

                                                                                                                                                  Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

                                                                                                                                                  2

                                                                                                                                                  Csomópont eltávolítása:

                                                                                                                                                  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

                                                                                                                                                  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

                                                                                                                                                  4. Kattintson Csomópontlista megnyitása .

                                                                                                                                                  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

                                                                                                                                                  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

                                                                                                                                                  3

                                                                                                                                                  A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

                                                                                                                                                  Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

                                                                                                                                                  Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

                                                                                                                                                  A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

                                                                                                                                                  Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

                                                                                                                                                  Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

                                                                                                                                                  (Opcionális) Az ISO leválasztása a HDS-konfiguráció után

                                                                                                                                                  A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

                                                                                                                                                  A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

                                                                                                                                                  1

                                                                                                                                                  Állítsa le az egyik HDS-csomópontot.

                                                                                                                                                  2

                                                                                                                                                  A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

                                                                                                                                                  3

                                                                                                                                                  Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

                                                                                                                                                  4

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

                                                                                                                                                  5

                                                                                                                                                  Ismételje meg a műveletet minden HDS-csomópont esetében.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  Figyelmeztetések és hibaelhárítás megtekintése

                                                                                                                                                  A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

                                                                                                                                                  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

                                                                                                                                                  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

                                                                                                                                                    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

                                                                                                                                                    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

                                                                                                                                                  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

                                                                                                                                                  Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

                                                                                                                                                  Riasztások

                                                                                                                                                  Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

                                                                                                                                                  1. táblázat Gyakori problémák és megoldásuk lépései

                                                                                                                                                  Riasztás

                                                                                                                                                  Művelet

                                                                                                                                                  Helyi adatbázis-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

                                                                                                                                                  Helyi adatbázis kapcsolódási hiba.

                                                                                                                                                  Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

                                                                                                                                                  Felhőszolgáltatás-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

                                                                                                                                                  Felhőszolgáltatás-regisztráció megújítása.

                                                                                                                                                  A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

                                                                                                                                                  A felhőszolgáltatás regisztrációja megszűnt.

                                                                                                                                                  A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

                                                                                                                                                  A szolgáltatás még nincs aktiválva.

                                                                                                                                                  Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

                                                                                                                                                  A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

                                                                                                                                                  Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

                                                                                                                                                  A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

                                                                                                                                                  Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

                                                                                                                                                  Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

                                                                                                                                                  Nem sikerült megnyitni a helyi kulcstároló fájlt.

                                                                                                                                                  Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

                                                                                                                                                  A helyi kiszolgálótanúsítvány érvénytelen.

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

                                                                                                                                                  Nem lehet mérőszámokat közzétenni.

                                                                                                                                                  Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

                                                                                                                                                  A /media/configdrive/hds könyvtár nem létezik.

                                                                                                                                                  Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
                                                                                                                                                  1

                                                                                                                                                  Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

                                                                                                                                                  2

                                                                                                                                                  Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

                                                                                                                                                  3

                                                                                                                                                  Kapcsolat lehetőségre Cisco-támogatás .

                                                                                                                                                  Egyéb megjegyzések

                                                                                                                                                  A hibrid adatbiztonsággal kapcsolatos ismert problémák

                                                                                                                                                  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

                                                                                                                                                  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

                                                                                                                                                    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

                                                                                                                                                  Az OpenSSL használata PKCS12-fájl létrehozásához

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

                                                                                                                                                  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

                                                                                                                                                  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

                                                                                                                                                  • Hozzon létre egy privát kulcsot.

                                                                                                                                                  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

                                                                                                                                                  1

                                                                                                                                                  Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány részleteit.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

                                                                                                                                                    Példa:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

                                                                                                                                                  Forgalom a HDS-csomópontok és a felhő között

                                                                                                                                                  Kimenő mérőszámgyűjtési forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

                                                                                                                                                  Bejövő forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

                                                                                                                                                  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

                                                                                                                                                  • A csomóponti szoftver frissítése

                                                                                                                                                  Squid-proxyk konfigurálása hibrid adatbiztonsághoz

                                                                                                                                                  A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

                                                                                                                                                  A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

                                                                                                                                                  Squid 4 és 5

                                                                                                                                                  Adja hozzá a on_unsupported_protocol utasítást squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintahal 3.5.27

                                                                                                                                                  Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Előszó

                                                                                                                                                  Új és módosított információk

                                                                                                                                                  Dátum

                                                                                                                                                  Végrehajtott módosítások

                                                                                                                                                  2023. október 20

                                                                                                                                                  2023. augusztus 07

                                                                                                                                                  2023. május 23

                                                                                                                                                  2022. december 06

                                                                                                                                                  2022. november 23

                                                                                                                                                  2021. október 13

                                                                                                                                                  A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

                                                                                                                                                  2021. június 24

                                                                                                                                                  Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

                                                                                                                                                  2021. április 30.

                                                                                                                                                  Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

                                                                                                                                                  2021. február 24

                                                                                                                                                  A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

                                                                                                                                                  2021. február 2

                                                                                                                                                  A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  2021. január 11

                                                                                                                                                  További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2020. október 13

                                                                                                                                                  Frissítve Telepítési fájlok letöltése .

                                                                                                                                                  2020. október 8.

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

                                                                                                                                                  2020. augusztus 14

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

                                                                                                                                                  2020. augusztus 5

                                                                                                                                                  Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

                                                                                                                                                  2020. június 16

                                                                                                                                                  Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

                                                                                                                                                  2020. június 4

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

                                                                                                                                                  2020. május 29

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

                                                                                                                                                  2020. május 5

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

                                                                                                                                                  2020. április 21.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

                                                                                                                                                  2020. április 1.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

                                                                                                                                                  2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
                                                                                                                                                  2020. február 4Frissítve Proxykiszolgáló követelményei .
                                                                                                                                                  2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
                                                                                                                                                  2019. november 19

                                                                                                                                                  A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

                                                                                                                                                  2019. november 8

                                                                                                                                                  Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

                                                                                                                                                  Ennek megfelelően frissítette a következő szakaszokat:


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  2019. szeptember 6

                                                                                                                                                  SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

                                                                                                                                                  2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
                                                                                                                                                  2019. augusztus 20

                                                                                                                                                  Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

                                                                                                                                                  Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

                                                                                                                                                  2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
                                                                                                                                                  2019. március 6
                                                                                                                                                  2019. február 28.
                                                                                                                                                  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

                                                                                                                                                  2019. február 26.
                                                                                                                                                  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

                                                                                                                                                  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

                                                                                                                                                  2019. január 24

                                                                                                                                                  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


                                                                                                                                                     

                                                                                                                                                    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

                                                                                                                                                  2018. november 5
                                                                                                                                                  2018. október 19

                                                                                                                                                  2018. július 31

                                                                                                                                                  2018. május 21.

                                                                                                                                                  Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

                                                                                                                                                  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

                                                                                                                                                  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

                                                                                                                                                  • A Cisco Collaboraton felhő mostantól Webex felhő.

                                                                                                                                                  2018. április 11
                                                                                                                                                  2018. február 22
                                                                                                                                                  2018. február 15.
                                                                                                                                                  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  2018. január 18.

                                                                                                                                                  2017. november 2

                                                                                                                                                  • A HdsTrialGroup pontosított címtár-szinkronizálása.

                                                                                                                                                  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

                                                                                                                                                  2017. augusztus 18

                                                                                                                                                  Első közzététel

                                                                                                                                                  Első lépések a Hybrid Data Security használatában

                                                                                                                                                  Hibrid adatbiztonsági áttekintés

                                                                                                                                                  A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

                                                                                                                                                  Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

                                                                                                                                                  Biztonsági birodalmi architektúra

                                                                                                                                                  A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

                                                                                                                                                  Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

                                                                                                                                                  A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

                                                                                                                                                  Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

                                                                                                                                                  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

                                                                                                                                                  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

                                                                                                                                                  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

                                                                                                                                                  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

                                                                                                                                                  A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

                                                                                                                                                  Együttműködés más szervezetekkel

                                                                                                                                                  A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

                                                                                                                                                  Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

                                                                                                                                                  A hibrid adatbiztonság telepítésével kapcsolatos elvárások

                                                                                                                                                  A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

                                                                                                                                                  A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

                                                                                                                                                  A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

                                                                                                                                                  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

                                                                                                                                                  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


                                                                                                                                                   

                                                                                                                                                  A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

                                                                                                                                                  Magas szintű telepítési folyamat

                                                                                                                                                  Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

                                                                                                                                                  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

                                                                                                                                                    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

                                                                                                                                                  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

                                                                                                                                                  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

                                                                                                                                                  A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

                                                                                                                                                  A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

                                                                                                                                                  A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

                                                                                                                                                  Szervezetenként csak egyetlen fürtöt támogatunk.

                                                                                                                                                  Hibrid adatbiztonsági próba mód

                                                                                                                                                  A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

                                                                                                                                                  Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

                                                                                                                                                  Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

                                                                                                                                                  Készenléti adatközpont vész-helyreállításhoz

                                                                                                                                                  A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Kézi feladatátvétel a készenléti adatközpontba

                                                                                                                                                  Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


                                                                                                                                                   

                                                                                                                                                  Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

                                                                                                                                                  Készenléti adatközpont beállítása vész-helyreállításhoz

                                                                                                                                                  Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

                                                                                                                                                  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

                                                                                                                                                  Proxy támogatás

                                                                                                                                                  A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

                                                                                                                                                  A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

                                                                                                                                                      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

                                                                                                                                                      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                  Példa hibrid adatbiztonsági csomópontokra és proxyra

                                                                                                                                                  Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

                                                                                                                                                  Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  A hibrid adatbiztonság követelményei

                                                                                                                                                  Cisco Webex licenckövetelmények

                                                                                                                                                  A Hybrid Data Security üzembe helyezése:

                                                                                                                                                  Docker asztali követelmények

                                                                                                                                                  A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

                                                                                                                                                  X.509 Tanúsítványkövetelmények

                                                                                                                                                  A tanúsítványlánc meg kell felelnie a következő követelményeknek:

                                                                                                                                                  1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

                                                                                                                                                  Követelmény

                                                                                                                                                  részletei

                                                                                                                                                  • Megbízható Certificate Authority (CA) írta alá

                                                                                                                                                  Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

                                                                                                                                                  • Nem helyettesítő karakteres tanúsítvány

                                                                                                                                                  A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

                                                                                                                                                  A CN nem tartalmazhat * karaktert (cserélő karakter).

                                                                                                                                                  A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

                                                                                                                                                  • Nem SHA1 aláírás

                                                                                                                                                  A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

                                                                                                                                                  • Jelszóval védett PKCS #12-fájlként formázva

                                                                                                                                                  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

                                                                                                                                                  A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

                                                                                                                                                  A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

                                                                                                                                                  A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

                                                                                                                                                  Virtuális kiszolgálóra vonatkozó követelmények

                                                                                                                                                  A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

                                                                                                                                                  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

                                                                                                                                                  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


                                                                                                                                                     

                                                                                                                                                    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

                                                                                                                                                  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

                                                                                                                                                  Adatbázis-kiszolgáló követelményei


                                                                                                                                                   

                                                                                                                                                  Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

                                                                                                                                                  Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

                                                                                                                                                  2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

                                                                                                                                                  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


                                                                                                                                                     

                                                                                                                                                    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC illesztőprogram 42.2.5

                                                                                                                                                  SQL Server JDBC illesztőprogram 4.6

                                                                                                                                                  Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

                                                                                                                                                  További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

                                                                                                                                                  Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

                                                                                                                                                  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

                                                                                                                                                  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

                                                                                                                                                  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

                                                                                                                                                  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

                                                                                                                                                    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

                                                                                                                                                  Külső csatlakozási követelmények

                                                                                                                                                  Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

                                                                                                                                                  Alkalmazás

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Útvonal az alkalmazásból

                                                                                                                                                  Cél

                                                                                                                                                  Hibrid adatbiztonsági csomópontok

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS és WSS

                                                                                                                                                  • Webex szerverek:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

                                                                                                                                                  HDS beállító eszköz

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

                                                                                                                                                  A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

                                                                                                                                                  Régió

                                                                                                                                                  Common Identity Host URL-ek

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európai Unió

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxykiszolgáló követelményei

                                                                                                                                                  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

                                                                                                                                                    • Átlátszó proxy— Cisco web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

                                                                                                                                                  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

                                                                                                                                                    • Nincs hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Kivonatalapú hitelesítés csak HTTPS-sel

                                                                                                                                                  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

                                                                                                                                                  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

                                                                                                                                                  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

                                                                                                                                                  Töltse ki a hibrid adatbiztonság előfeltételeit

                                                                                                                                                  Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
                                                                                                                                                  1

                                                                                                                                                  Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

                                                                                                                                                  2

                                                                                                                                                  Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

                                                                                                                                                  3

                                                                                                                                                  Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

                                                                                                                                                  4

                                                                                                                                                  Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

                                                                                                                                                  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

                                                                                                                                                  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

                                                                                                                                                    • a szervező neve vagy IP-cím (gazdagépét) és portját

                                                                                                                                                    • a kulcstároláshoz szükséges adatbázis neve (dbname).

                                                                                                                                                    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

                                                                                                                                                  5

                                                                                                                                                  A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

                                                                                                                                                  6

                                                                                                                                                  Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


                                                                                                                                                   

                                                                                                                                                  Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

                                                                                                                                                  A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

                                                                                                                                                  8

                                                                                                                                                  Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

                                                                                                                                                  9

                                                                                                                                                  A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

                                                                                                                                                  A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

                                                                                                                                                  A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

                                                                                                                                                  10

                                                                                                                                                  Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

                                                                                                                                                  11

                                                                                                                                                  Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


                                                                                                                                                   

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

                                                                                                                                                  Hibrid adatbiztonsági fürt beállítása

                                                                                                                                                  Hibrid adatbiztonsági telepítési feladatfolyamat

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  1

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

                                                                                                                                                  2

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

                                                                                                                                                  3

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  4

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

                                                                                                                                                  5

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

                                                                                                                                                  6

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

                                                                                                                                                  7

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

                                                                                                                                                  8

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Fejezze be a fürt beállítását.

                                                                                                                                                  9

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

                                                                                                                                                  A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

                                                                                                                                                  Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


                                                                                                                                                   

                                                                                                                                                  Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


                                                                                                                                                   

                                                                                                                                                  A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

                                                                                                                                                  3

                                                                                                                                                  Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

                                                                                                                                                  Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
                                                                                                                                                  4

                                                                                                                                                  Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

                                                                                                                                                    • Adatbázis hitelesítő adatok

                                                                                                                                                    • Tanúsítványfrissítések

                                                                                                                                                    • Az engedélyezési házirend változásai

                                                                                                                                                  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

                                                                                                                                                  1

                                                                                                                                                  A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2

                                                                                                                                                  A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  • Normál környezetben proxy nélkül:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTP proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTPS-proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

                                                                                                                                                  Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

                                                                                                                                                  7

                                                                                                                                                  Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

                                                                                                                                                  8

                                                                                                                                                  A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

                                                                                                                                                  9

                                                                                                                                                  A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

                                                                                                                                                  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
                                                                                                                                                  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
                                                                                                                                                  10

                                                                                                                                                  Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

                                                                                                                                                  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  11

                                                                                                                                                  Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

                                                                                                                                                  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

                                                                                                                                                    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

                                                                                                                                                  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

                                                                                                                                                    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

                                                                                                                                                    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

                                                                                                                                                  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

                                                                                                                                                    Példa:
                                                                                                                                                    dbhost.example.org:1433 vagy 198.51.100.17:1433

                                                                                                                                                    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

                                                                                                                                                    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

                                                                                                                                                  4. Adja meg a Adatbázis neve .

                                                                                                                                                  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

                                                                                                                                                  12

                                                                                                                                                  Válassza ki a TLS adatbázis-kapcsolati mód :

                                                                                                                                                  Mód

                                                                                                                                                  Leírás

                                                                                                                                                  TLS előnyben részesítése (alapértelmezett lehetőség)

                                                                                                                                                  A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

                                                                                                                                                  TLS szükséges

                                                                                                                                                  A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  TLS megkövetelése és tanúsítványaláíró ellenőrzése


                                                                                                                                                   

                                                                                                                                                  Ez a mód nem alkalmazható SQL Server adatbázisokra.

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

                                                                                                                                                  13

                                                                                                                                                  A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

                                                                                                                                                  1. Adja meg a syslog szerver URL-címét .

                                                                                                                                                    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

                                                                                                                                                    Példa:
                                                                                                                                                    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.
                                                                                                                                                  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

                                                                                                                                                    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

                                                                                                                                                  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

                                                                                                                                                  4. Kattintson a Folytatás gombra.

                                                                                                                                                  14

                                                                                                                                                  (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

                                                                                                                                                  A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

                                                                                                                                                  16

                                                                                                                                                  Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  17

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

                                                                                                                                                  Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  18

                                                                                                                                                  A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


                                                                                                                                                   

                                                                                                                                                  Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

                                                                                                                                                  2

                                                                                                                                                  Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

                                                                                                                                                  3

                                                                                                                                                  A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

                                                                                                                                                  4

                                                                                                                                                  A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

                                                                                                                                                  Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

                                                                                                                                                  6

                                                                                                                                                  Ellenőrizze a sablon részleteit, majd kattintson Következő .

                                                                                                                                                  7

                                                                                                                                                  Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

                                                                                                                                                  8

                                                                                                                                                  A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

                                                                                                                                                  9

                                                                                                                                                  A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

                                                                                                                                                  10

                                                                                                                                                  A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

                                                                                                                                                  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

                                                                                                                                                     
                                                                                                                                                    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

                                                                                                                                                    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

                                                                                                                                                  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

                                                                                                                                                     

                                                                                                                                                    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
                                                                                                                                                  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
                                                                                                                                                  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
                                                                                                                                                  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.
                                                                                                                                                  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

                                                                                                                                                  Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  11

                                                                                                                                                  Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

                                                                                                                                                  A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

                                                                                                                                                  Hibaelhárítási tippek

                                                                                                                                                  Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

                                                                                                                                                  1

                                                                                                                                                  A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

                                                                                                                                                  A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
                                                                                                                                                  2

                                                                                                                                                  Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

                                                                                                                                                  1. Bejelentkezés: admin

                                                                                                                                                  2. Jelszó: cisco

                                                                                                                                                  Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

                                                                                                                                                  3

                                                                                                                                                  Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

                                                                                                                                                  4

                                                                                                                                                  Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  5

                                                                                                                                                  (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

                                                                                                                                                  Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                  6

                                                                                                                                                  Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

                                                                                                                                                  1

                                                                                                                                                  Töltse fel az ISO fájlt a számítógépéről:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

                                                                                                                                                  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

                                                                                                                                                  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

                                                                                                                                                  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

                                                                                                                                                  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

                                                                                                                                                  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

                                                                                                                                                  2

                                                                                                                                                  Az ISO fájl csatolása:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  1

                                                                                                                                                  Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:
                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak HTTPS-proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                  Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

                                                                                                                                                  3

                                                                                                                                                  Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

                                                                                                                                                  A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

                                                                                                                                                  Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

                                                                                                                                                  Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

                                                                                                                                                  5

                                                                                                                                                  Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

                                                                                                                                                  6

                                                                                                                                                  Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

                                                                                                                                                  A csomópont néhány percen belül újraindul.

                                                                                                                                                  7

                                                                                                                                                  Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

                                                                                                                                                  A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

                                                                                                                                                  Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
                                                                                                                                                  4

                                                                                                                                                  Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

                                                                                                                                                  Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

                                                                                                                                                  6

                                                                                                                                                  A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                  Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
                                                                                                                                                  7

                                                                                                                                                  Kattintson Lépjen a Node-ra .

                                                                                                                                                  8

                                                                                                                                                  Kattintson Folytatás a figyelmeztető üzenet.

                                                                                                                                                  Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
                                                                                                                                                  9

                                                                                                                                                  Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                  Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  10

                                                                                                                                                  Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

                                                                                                                                                   

                                                                                                                                                  Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

                                                                                                                                                  2

                                                                                                                                                  Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  3

                                                                                                                                                  Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

                                                                                                                                                  4

                                                                                                                                                  Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

                                                                                                                                                  5

                                                                                                                                                  Regisztrálja a csomópontot.

                                                                                                                                                  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

                                                                                                                                                    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.
                                                                                                                                                  3. Kattintson Erőforrás hozzáadása elemre .

                                                                                                                                                  4. Az első mezőben válassza ki a meglévő fürt nevét.

                                                                                                                                                  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.
                                                                                                                                                  6. Kattintson Lépjen a Node-ra .

                                                                                                                                                    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.
                                                                                                                                                  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra

                                                                                                                                                  A próbaidőszakból a gyártási feladatfolyamat

                                                                                                                                                  Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

                                                                                                                                                  1

                                                                                                                                                  Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  2

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  3

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

                                                                                                                                                  4

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

                                                                                                                                                  5

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  6

                                                                                                                                                  Fejezze be a próbaidőszakot a következő műveletek egyikével:

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

                                                                                                                                                  A szolgáltatás állapota próba módra változik.
                                                                                                                                                  4

                                                                                                                                                  Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

                                                                                                                                                  (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Állítsa be a Hybrid Data Security telepítését.

                                                                                                                                                  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

                                                                                                                                                  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


                                                                                                                                                   

                                                                                                                                                  Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

                                                                                                                                                  2

                                                                                                                                                  Üzenetek küldése az új szobába.

                                                                                                                                                  3

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
                                                                                                                                                  1

                                                                                                                                                  Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági beállítások oldal.
                                                                                                                                                  3

                                                                                                                                                  Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

                                                                                                                                                  Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

                                                                                                                                                  4

                                                                                                                                                  Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

                                                                                                                                                  Áthelyezés próbaidőszakról élesre

                                                                                                                                                  Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

                                                                                                                                                  Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

                                                                                                                                                  Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Deaktiválás részben kattintson a gombra Inaktiválás .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

                                                                                                                                                  A HDS-telepítés kezelése

                                                                                                                                                  HDS-telepítés kezelése

                                                                                                                                                  Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

                                                                                                                                                  Fürtfrissítési ütemezés beállítása

                                                                                                                                                  A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

                                                                                                                                                  A frissítés ütemezésének beállítása:

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

                                                                                                                                                  4

                                                                                                                                                  A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

                                                                                                                                                  5

                                                                                                                                                  A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

                                                                                                                                                  Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

                                                                                                                                                  Módosítsa a csomópont-konfigurációt

                                                                                                                                                  Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:
                                                                                                                                                  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

                                                                                                                                                  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

                                                                                                                                                  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

                                                                                                                                                  Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

                                                                                                                                                  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

                                                                                                                                                  • Hard reset — A régi jelszavak azonnal leállnak.

                                                                                                                                                  Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

                                                                                                                                                  Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

                                                                                                                                                  1

                                                                                                                                                  A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

                                                                                                                                                  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

                                                                                                                                                  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    • Normál környezetben proxy nélkül:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTP proxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTPSproxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

                                                                                                                                                  8. Importálja az aktuális konfigurációs ISO -fájlt.

                                                                                                                                                  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

                                                                                                                                                    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

                                                                                                                                                  2

                                                                                                                                                  Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

                                                                                                                                                  1. Telepítse a HDS-gazda OVA-t.

                                                                                                                                                  2. Állítsa be a HDS VM.

                                                                                                                                                  3. Csatlakoztassa a frissített konfigurációs fájl.

                                                                                                                                                  4. Regisztrálja az új csomópontot a Control Hubban.

                                                                                                                                                  3

                                                                                                                                                  A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

                                                                                                                                                  1. Kapcsolja ki a virtuális gép.

                                                                                                                                                  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

                                                                                                                                                  4

                                                                                                                                                  Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

                                                                                                                                                  Kapcsolja ki a Blokkolt külső DNS -feloldási módot

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

                                                                                                                                                  Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
                                                                                                                                                  1

                                                                                                                                                  Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Áttekintés (az alapértelmezett oldal).

                                                                                                                                                  Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

                                                                                                                                                  3

                                                                                                                                                  Lépjen a következőre: Trust Store és Proxy oldalon.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot .

                                                                                                                                                  Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

                                                                                                                                                  Csomópont eltávolítása

                                                                                                                                                  Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

                                                                                                                                                  2

                                                                                                                                                  Csomópont eltávolítása:

                                                                                                                                                  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

                                                                                                                                                  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

                                                                                                                                                  4. Kattintson Csomópontlista megnyitása .

                                                                                                                                                  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

                                                                                                                                                  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

                                                                                                                                                  3

                                                                                                                                                  A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

                                                                                                                                                  Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

                                                                                                                                                  Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

                                                                                                                                                  A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

                                                                                                                                                  Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

                                                                                                                                                  Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

                                                                                                                                                  (Opcionális) Az ISO leválasztása a HDS-konfiguráció után

                                                                                                                                                  A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

                                                                                                                                                  A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

                                                                                                                                                  1

                                                                                                                                                  Állítsa le az egyik HDS-csomópontot.

                                                                                                                                                  2

                                                                                                                                                  A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

                                                                                                                                                  3

                                                                                                                                                  Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

                                                                                                                                                  4

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

                                                                                                                                                  5

                                                                                                                                                  Ismételje meg a műveletet minden HDS-csomópont esetében.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  Figyelmeztetések és hibaelhárítás megtekintése

                                                                                                                                                  A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

                                                                                                                                                  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

                                                                                                                                                  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

                                                                                                                                                    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

                                                                                                                                                    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

                                                                                                                                                  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

                                                                                                                                                  Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

                                                                                                                                                  Riasztások

                                                                                                                                                  Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

                                                                                                                                                  1. táblázat Gyakori problémák és megoldásuk lépései

                                                                                                                                                  Riasztás

                                                                                                                                                  Művelet

                                                                                                                                                  Helyi adatbázis-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

                                                                                                                                                  Helyi adatbázis kapcsolódási hiba.

                                                                                                                                                  Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

                                                                                                                                                  Felhőszolgáltatás-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

                                                                                                                                                  Felhőszolgáltatás-regisztráció megújítása.

                                                                                                                                                  A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

                                                                                                                                                  A felhőszolgáltatás regisztrációja megszűnt.

                                                                                                                                                  A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

                                                                                                                                                  A szolgáltatás még nincs aktiválva.

                                                                                                                                                  Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

                                                                                                                                                  A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

                                                                                                                                                  Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

                                                                                                                                                  A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

                                                                                                                                                  Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

                                                                                                                                                  Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

                                                                                                                                                  Nem sikerült megnyitni a helyi kulcstároló fájlt.

                                                                                                                                                  Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

                                                                                                                                                  A helyi kiszolgálótanúsítvány érvénytelen.

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

                                                                                                                                                  Nem lehet mérőszámokat közzétenni.

                                                                                                                                                  Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

                                                                                                                                                  A /media/configdrive/hds könyvtár nem létezik.

                                                                                                                                                  Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
                                                                                                                                                  1

                                                                                                                                                  Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

                                                                                                                                                  2

                                                                                                                                                  Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

                                                                                                                                                  3

                                                                                                                                                  Kapcsolat lehetőségre Cisco-támogatás .

                                                                                                                                                  Egyéb megjegyzések

                                                                                                                                                  A hibrid adatbiztonsággal kapcsolatos ismert problémák

                                                                                                                                                  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

                                                                                                                                                  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

                                                                                                                                                    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

                                                                                                                                                  Az OpenSSL használata PKCS12-fájl létrehozásához

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

                                                                                                                                                  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

                                                                                                                                                  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

                                                                                                                                                  • Hozzon létre egy privát kulcsot.

                                                                                                                                                  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

                                                                                                                                                  1

                                                                                                                                                  Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány részleteit.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

                                                                                                                                                    Példa:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

                                                                                                                                                  Forgalom a HDS-csomópontok és a felhő között

                                                                                                                                                  Kimenő mérőszámgyűjtési forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

                                                                                                                                                  Bejövő forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

                                                                                                                                                  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

                                                                                                                                                  • A csomóponti szoftver frissítése

                                                                                                                                                  Squid-proxyk konfigurálása hibrid adatbiztonsághoz

                                                                                                                                                  A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

                                                                                                                                                  A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

                                                                                                                                                  Squid 4 és 5

                                                                                                                                                  Adja hozzá a on_unsupported_protocol utasítást squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintahal 3.5.27

                                                                                                                                                  Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Előszó

                                                                                                                                                  Új és módosított információk

                                                                                                                                                  Dátum

                                                                                                                                                  Végrehajtott módosítások

                                                                                                                                                  2023. október 20

                                                                                                                                                  2023. augusztus 07

                                                                                                                                                  2023. május 23

                                                                                                                                                  2022. december 06

                                                                                                                                                  2022. november 23

                                                                                                                                                  2021. október 13

                                                                                                                                                  A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

                                                                                                                                                  2021. június 24

                                                                                                                                                  Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

                                                                                                                                                  2021. április 30.

                                                                                                                                                  Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

                                                                                                                                                  2021. február 24

                                                                                                                                                  A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

                                                                                                                                                  2021. február 2

                                                                                                                                                  A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  2021. január 11

                                                                                                                                                  További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2020. október 13

                                                                                                                                                  Frissítve Telepítési fájlok letöltése .

                                                                                                                                                  2020. október 8.

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

                                                                                                                                                  2020. augusztus 14

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

                                                                                                                                                  2020. augusztus 5

                                                                                                                                                  Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

                                                                                                                                                  2020. június 16

                                                                                                                                                  Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

                                                                                                                                                  2020. június 4

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

                                                                                                                                                  2020. május 29

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

                                                                                                                                                  2020. május 5

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

                                                                                                                                                  2020. április 21.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

                                                                                                                                                  2020. április 1.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

                                                                                                                                                  2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
                                                                                                                                                  2020. február 4Frissítve Proxykiszolgáló követelményei .
                                                                                                                                                  2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
                                                                                                                                                  2019. november 19

                                                                                                                                                  A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

                                                                                                                                                  2019. november 8

                                                                                                                                                  Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

                                                                                                                                                  Ennek megfelelően frissítette a következő szakaszokat:


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  2019. szeptember 6

                                                                                                                                                  SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

                                                                                                                                                  2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
                                                                                                                                                  2019. augusztus 20

                                                                                                                                                  Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

                                                                                                                                                  Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

                                                                                                                                                  2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
                                                                                                                                                  2019. március 6
                                                                                                                                                  2019. február 28.
                                                                                                                                                  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

                                                                                                                                                  2019. február 26.
                                                                                                                                                  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

                                                                                                                                                  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

                                                                                                                                                  2019. január 24

                                                                                                                                                  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


                                                                                                                                                     

                                                                                                                                                    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

                                                                                                                                                  2018. november 5
                                                                                                                                                  2018. október 19

                                                                                                                                                  2018. július 31

                                                                                                                                                  2018. május 21.

                                                                                                                                                  Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

                                                                                                                                                  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

                                                                                                                                                  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

                                                                                                                                                  • A Cisco Collaboraton felhő mostantól Webex felhő.

                                                                                                                                                  2018. április 11
                                                                                                                                                  2018. február 22
                                                                                                                                                  2018. február 15.
                                                                                                                                                  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  2018. január 18.

                                                                                                                                                  2017. november 2

                                                                                                                                                  • A HdsTrialGroup pontosított címtár-szinkronizálása.

                                                                                                                                                  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

                                                                                                                                                  2017. augusztus 18

                                                                                                                                                  Első közzététel

                                                                                                                                                  Első lépések a Hybrid Data Security használatában

                                                                                                                                                  Hibrid adatbiztonsági áttekintés

                                                                                                                                                  A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

                                                                                                                                                  Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

                                                                                                                                                  Biztonsági birodalmi architektúra

                                                                                                                                                  A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

                                                                                                                                                  Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

                                                                                                                                                  A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

                                                                                                                                                  Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

                                                                                                                                                  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

                                                                                                                                                  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

                                                                                                                                                  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

                                                                                                                                                  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

                                                                                                                                                  A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

                                                                                                                                                  Együttműködés más szervezetekkel

                                                                                                                                                  A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

                                                                                                                                                  Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

                                                                                                                                                  A hibrid adatbiztonság telepítésével kapcsolatos elvárások

                                                                                                                                                  A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

                                                                                                                                                  A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

                                                                                                                                                  A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

                                                                                                                                                  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

                                                                                                                                                  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


                                                                                                                                                   

                                                                                                                                                  A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

                                                                                                                                                  Magas szintű telepítési folyamat

                                                                                                                                                  Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

                                                                                                                                                  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

                                                                                                                                                    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

                                                                                                                                                  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

                                                                                                                                                  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

                                                                                                                                                  A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

                                                                                                                                                  A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

                                                                                                                                                  A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

                                                                                                                                                  Szervezetenként csak egyetlen fürtöt támogatunk.

                                                                                                                                                  Hibrid adatbiztonsági próba mód

                                                                                                                                                  A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

                                                                                                                                                  Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

                                                                                                                                                  Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

                                                                                                                                                  Készenléti adatközpont vész-helyreállításhoz

                                                                                                                                                  A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Kézi feladatátvétel a készenléti adatközpontba

                                                                                                                                                  Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


                                                                                                                                                   

                                                                                                                                                  Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

                                                                                                                                                  Készenléti adatközpont beállítása vész-helyreállításhoz

                                                                                                                                                  Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

                                                                                                                                                  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

                                                                                                                                                  Proxy támogatás

                                                                                                                                                  A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

                                                                                                                                                  A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

                                                                                                                                                      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

                                                                                                                                                      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                  Példa hibrid adatbiztonsági csomópontokra és proxyra

                                                                                                                                                  Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

                                                                                                                                                  Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  A hibrid adatbiztonság követelményei

                                                                                                                                                  Cisco Webex licenckövetelmények

                                                                                                                                                  A Hybrid Data Security üzembe helyezése:

                                                                                                                                                  Docker asztali követelmények

                                                                                                                                                  A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

                                                                                                                                                  X.509 Tanúsítványkövetelmények

                                                                                                                                                  A tanúsítványlánc meg kell felelnie a következő követelményeknek:

                                                                                                                                                  1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

                                                                                                                                                  Követelmény

                                                                                                                                                  részletei

                                                                                                                                                  • Megbízható Certificate Authority (CA) írta alá

                                                                                                                                                  Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

                                                                                                                                                  • Nem helyettesítő karakteres tanúsítvány

                                                                                                                                                  A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

                                                                                                                                                  A CN nem tartalmazhat * karaktert (cserélő karakter).

                                                                                                                                                  A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

                                                                                                                                                  • Nem SHA1 aláírás

                                                                                                                                                  A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

                                                                                                                                                  • Jelszóval védett PKCS #12-fájlként formázva

                                                                                                                                                  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

                                                                                                                                                  A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

                                                                                                                                                  A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

                                                                                                                                                  A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

                                                                                                                                                  Virtuális kiszolgálóra vonatkozó követelmények

                                                                                                                                                  A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

                                                                                                                                                  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

                                                                                                                                                  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


                                                                                                                                                     

                                                                                                                                                    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

                                                                                                                                                  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

                                                                                                                                                  Adatbázis-kiszolgáló követelményei


                                                                                                                                                   

                                                                                                                                                  Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

                                                                                                                                                  Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

                                                                                                                                                  2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

                                                                                                                                                  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


                                                                                                                                                     

                                                                                                                                                    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC illesztőprogram 42.2.5

                                                                                                                                                  SQL Server JDBC illesztőprogram 4.6

                                                                                                                                                  Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

                                                                                                                                                  További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

                                                                                                                                                  Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

                                                                                                                                                  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

                                                                                                                                                  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

                                                                                                                                                  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

                                                                                                                                                  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

                                                                                                                                                    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

                                                                                                                                                  Külső csatlakozási követelmények

                                                                                                                                                  Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

                                                                                                                                                  Alkalmazás

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Útvonal az alkalmazásból

                                                                                                                                                  Cél

                                                                                                                                                  Hibrid adatbiztonsági csomópontok

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS és WSS

                                                                                                                                                  • Webex szerverek:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

                                                                                                                                                  HDS beállító eszköz

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

                                                                                                                                                  A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

                                                                                                                                                  Régió

                                                                                                                                                  Common Identity Host URL-ek

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európai Unió

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxykiszolgáló követelményei

                                                                                                                                                  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

                                                                                                                                                    • Átlátszó proxy— Cisco web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

                                                                                                                                                  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

                                                                                                                                                    • Nincs hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Kivonatalapú hitelesítés csak HTTPS-sel

                                                                                                                                                  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

                                                                                                                                                  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

                                                                                                                                                  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

                                                                                                                                                  Töltse ki a hibrid adatbiztonság előfeltételeit

                                                                                                                                                  Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
                                                                                                                                                  1

                                                                                                                                                  Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

                                                                                                                                                  2

                                                                                                                                                  Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

                                                                                                                                                  3

                                                                                                                                                  Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

                                                                                                                                                  4

                                                                                                                                                  Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

                                                                                                                                                  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

                                                                                                                                                  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

                                                                                                                                                    • a szervező neve vagy IP-cím (gazdagépét) és portját

                                                                                                                                                    • a kulcstároláshoz szükséges adatbázis neve (dbname).

                                                                                                                                                    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

                                                                                                                                                  5

                                                                                                                                                  A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

                                                                                                                                                  6

                                                                                                                                                  Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


                                                                                                                                                   

                                                                                                                                                  Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

                                                                                                                                                  A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

                                                                                                                                                  8

                                                                                                                                                  Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

                                                                                                                                                  9

                                                                                                                                                  A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

                                                                                                                                                  A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

                                                                                                                                                  A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

                                                                                                                                                  10

                                                                                                                                                  Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

                                                                                                                                                  11

                                                                                                                                                  Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


                                                                                                                                                   

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

                                                                                                                                                  Hibrid adatbiztonsági fürt beállítása

                                                                                                                                                  Hibrid adatbiztonsági telepítési feladatfolyamat

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  1

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

                                                                                                                                                  2

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

                                                                                                                                                  3

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  4

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

                                                                                                                                                  5

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

                                                                                                                                                  6

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

                                                                                                                                                  7

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

                                                                                                                                                  8

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Fejezze be a fürt beállítását.

                                                                                                                                                  9

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

                                                                                                                                                  A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

                                                                                                                                                  Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


                                                                                                                                                   

                                                                                                                                                  Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


                                                                                                                                                   

                                                                                                                                                  A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

                                                                                                                                                  3

                                                                                                                                                  Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

                                                                                                                                                  Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
                                                                                                                                                  4

                                                                                                                                                  Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

                                                                                                                                                    • Adatbázis hitelesítő adatok

                                                                                                                                                    • Tanúsítványfrissítések

                                                                                                                                                    • Az engedélyezési házirend változásai

                                                                                                                                                  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

                                                                                                                                                  1

                                                                                                                                                  A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2

                                                                                                                                                  A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  • Normál környezetben proxy nélkül:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTP proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTPS-proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

                                                                                                                                                  Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

                                                                                                                                                  7

                                                                                                                                                  Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

                                                                                                                                                  8

                                                                                                                                                  A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

                                                                                                                                                  9

                                                                                                                                                  A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

                                                                                                                                                  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
                                                                                                                                                  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
                                                                                                                                                  10

                                                                                                                                                  Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

                                                                                                                                                  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  11

                                                                                                                                                  Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

                                                                                                                                                  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

                                                                                                                                                    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

                                                                                                                                                  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

                                                                                                                                                    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

                                                                                                                                                    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

                                                                                                                                                  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

                                                                                                                                                    Példa:
                                                                                                                                                    dbhost.example.org:1433 vagy 198.51.100.17:1433

                                                                                                                                                    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

                                                                                                                                                    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

                                                                                                                                                  4. Adja meg a Adatbázis neve .

                                                                                                                                                  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

                                                                                                                                                  12

                                                                                                                                                  Válassza ki a TLS adatbázis-kapcsolati mód :

                                                                                                                                                  Mód

                                                                                                                                                  Leírás

                                                                                                                                                  TLS előnyben részesítése (alapértelmezett lehetőség)

                                                                                                                                                  A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

                                                                                                                                                  TLS szükséges

                                                                                                                                                  A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  TLS megkövetelése és tanúsítványaláíró ellenőrzése


                                                                                                                                                   

                                                                                                                                                  Ez a mód nem alkalmazható SQL Server adatbázisokra.

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

                                                                                                                                                  13

                                                                                                                                                  A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

                                                                                                                                                  1. Adja meg a syslog szerver URL-címét .

                                                                                                                                                    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

                                                                                                                                                    Példa:
                                                                                                                                                    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.
                                                                                                                                                  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

                                                                                                                                                    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

                                                                                                                                                  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

                                                                                                                                                  4. Kattintson a Folytatás gombra.

                                                                                                                                                  14

                                                                                                                                                  (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

                                                                                                                                                  A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

                                                                                                                                                  16

                                                                                                                                                  Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  17

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

                                                                                                                                                  Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  18

                                                                                                                                                  A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


                                                                                                                                                   

                                                                                                                                                  Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

                                                                                                                                                  2

                                                                                                                                                  Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

                                                                                                                                                  3

                                                                                                                                                  A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

                                                                                                                                                  4

                                                                                                                                                  A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

                                                                                                                                                  Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

                                                                                                                                                  6

                                                                                                                                                  Ellenőrizze a sablon részleteit, majd kattintson Következő .

                                                                                                                                                  7

                                                                                                                                                  Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

                                                                                                                                                  8

                                                                                                                                                  A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

                                                                                                                                                  9

                                                                                                                                                  A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

                                                                                                                                                  10

                                                                                                                                                  A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

                                                                                                                                                  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

                                                                                                                                                     
                                                                                                                                                    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

                                                                                                                                                    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

                                                                                                                                                  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

                                                                                                                                                     

                                                                                                                                                    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
                                                                                                                                                  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
                                                                                                                                                  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
                                                                                                                                                  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.
                                                                                                                                                  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

                                                                                                                                                  Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  11

                                                                                                                                                  Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

                                                                                                                                                  A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

                                                                                                                                                  Hibaelhárítási tippek

                                                                                                                                                  Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

                                                                                                                                                  1

                                                                                                                                                  A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

                                                                                                                                                  A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
                                                                                                                                                  2

                                                                                                                                                  Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

                                                                                                                                                  1. Bejelentkezés: admin

                                                                                                                                                  2. Jelszó: cisco

                                                                                                                                                  Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

                                                                                                                                                  3

                                                                                                                                                  Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

                                                                                                                                                  4

                                                                                                                                                  Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  5

                                                                                                                                                  (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

                                                                                                                                                  Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                  6

                                                                                                                                                  Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

                                                                                                                                                  1

                                                                                                                                                  Töltse fel az ISO fájlt a számítógépéről:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

                                                                                                                                                  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

                                                                                                                                                  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

                                                                                                                                                  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

                                                                                                                                                  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

                                                                                                                                                  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

                                                                                                                                                  2

                                                                                                                                                  Az ISO fájl csatolása:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  1

                                                                                                                                                  Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:
                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak HTTPS-proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                  Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

                                                                                                                                                  3

                                                                                                                                                  Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

                                                                                                                                                  A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

                                                                                                                                                  Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

                                                                                                                                                  Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

                                                                                                                                                  5

                                                                                                                                                  Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

                                                                                                                                                  6

                                                                                                                                                  Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

                                                                                                                                                  A csomópont néhány percen belül újraindul.

                                                                                                                                                  7

                                                                                                                                                  Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

                                                                                                                                                  A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

                                                                                                                                                  Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
                                                                                                                                                  4

                                                                                                                                                  Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

                                                                                                                                                  Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

                                                                                                                                                  6

                                                                                                                                                  A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                  Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
                                                                                                                                                  7

                                                                                                                                                  Kattintson Lépjen a Node-ra .

                                                                                                                                                  8

                                                                                                                                                  Kattintson Folytatás a figyelmeztető üzenet.

                                                                                                                                                  Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
                                                                                                                                                  9

                                                                                                                                                  Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                  Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  10

                                                                                                                                                  Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

                                                                                                                                                   

                                                                                                                                                  Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

                                                                                                                                                  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

                                                                                                                                                  1

                                                                                                                                                  Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

                                                                                                                                                  2

                                                                                                                                                  Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

                                                                                                                                                  3

                                                                                                                                                  Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

                                                                                                                                                  4

                                                                                                                                                  Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

                                                                                                                                                  5

                                                                                                                                                  Regisztrálja a csomópontot.

                                                                                                                                                  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

                                                                                                                                                    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.
                                                                                                                                                  3. Kattintson Erőforrás hozzáadása elemre .

                                                                                                                                                  4. Az első mezőben válassza ki a meglévő fürt nevét.

                                                                                                                                                  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

                                                                                                                                                    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.
                                                                                                                                                  6. Kattintson Lépjen a Node-ra .

                                                                                                                                                    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.
                                                                                                                                                  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

                                                                                                                                                    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
                                                                                                                                                  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

                                                                                                                                                  A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra

                                                                                                                                                  A próbaidőszakból a gyártási feladatfolyamat

                                                                                                                                                  Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

                                                                                                                                                  1

                                                                                                                                                  Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  2

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  3

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

                                                                                                                                                  4

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

                                                                                                                                                  5

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  6

                                                                                                                                                  Fejezze be a próbaidőszakot a következő műveletek egyikével:

                                                                                                                                                  Próbaidőszak aktiválása

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

                                                                                                                                                  A szolgáltatás állapota próba módra változik.
                                                                                                                                                  4

                                                                                                                                                  Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

                                                                                                                                                  (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

                                                                                                                                                  Tesztelje hibrid adatbiztonsági telepítését

                                                                                                                                                  Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Állítsa be a Hybrid Data Security telepítését.

                                                                                                                                                  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

                                                                                                                                                  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


                                                                                                                                                   

                                                                                                                                                  Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

                                                                                                                                                  2

                                                                                                                                                  Üzenetek küldése az új szobába.

                                                                                                                                                  3

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

                                                                                                                                                  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Meg kell találnia egy ilyen bejegyzést:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  A Hybrid Data Security állapotának figyelése

                                                                                                                                                  A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
                                                                                                                                                  1

                                                                                                                                                  Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

                                                                                                                                                  Megjelenik a Hibrid adatbiztonsági beállítások oldal.
                                                                                                                                                  3

                                                                                                                                                  Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

                                                                                                                                                  Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

                                                                                                                                                  Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

                                                                                                                                                  Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

                                                                                                                                                  Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

                                                                                                                                                  4

                                                                                                                                                  Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

                                                                                                                                                  Áthelyezés próbaidőszakról élesre

                                                                                                                                                  Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

                                                                                                                                                  Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

                                                                                                                                                  Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

                                                                                                                                                  3

                                                                                                                                                  A Deaktiválás részben kattintson a gombra Inaktiválás .

                                                                                                                                                  4

                                                                                                                                                  Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

                                                                                                                                                  A HDS-telepítés kezelése

                                                                                                                                                  HDS-telepítés kezelése

                                                                                                                                                  Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

                                                                                                                                                  Fürtfrissítési ütemezés beállítása

                                                                                                                                                  A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

                                                                                                                                                  A frissítés ütemezésének beállítása:

                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide: Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

                                                                                                                                                  3

                                                                                                                                                  A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

                                                                                                                                                  4

                                                                                                                                                  A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

                                                                                                                                                  5

                                                                                                                                                  A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

                                                                                                                                                  Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

                                                                                                                                                  Módosítsa a csomópont-konfigurációt

                                                                                                                                                  Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:
                                                                                                                                                  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

                                                                                                                                                  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


                                                                                                                                                     

                                                                                                                                                    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

                                                                                                                                                  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

                                                                                                                                                  Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

                                                                                                                                                  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

                                                                                                                                                  • Hard reset — A régi jelszavak azonnal leállnak.

                                                                                                                                                  Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

                                                                                                                                                  Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

                                                                                                                                                  1

                                                                                                                                                  A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

                                                                                                                                                  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                    Normál környezetben:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP-környezetekben:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

                                                                                                                                                  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                    • Normál környezetben proxy nélkül:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTP proxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Normál környezetben HTTPSproxyval:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

                                                                                                                                                  8. Importálja az aktuális konfigurációs ISO -fájlt.

                                                                                                                                                  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

                                                                                                                                                    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

                                                                                                                                                  2

                                                                                                                                                  Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

                                                                                                                                                  1. Telepítse a HDS-gazda OVA-t.

                                                                                                                                                  2. Állítsa be a HDS VM.

                                                                                                                                                  3. Csatlakoztassa a frissített konfigurációs fájl.

                                                                                                                                                  4. Regisztrálja az új csomópontot a Control Hubban.

                                                                                                                                                  3

                                                                                                                                                  A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

                                                                                                                                                  1. Kapcsolja ki a virtuális gép.

                                                                                                                                                  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

                                                                                                                                                  4

                                                                                                                                                  Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

                                                                                                                                                  Kapcsolja ki a Blokkolt külső DNS -feloldási módot

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

                                                                                                                                                  Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
                                                                                                                                                  1

                                                                                                                                                  Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Áttekintés (az alapértelmezett oldal).

                                                                                                                                                  Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

                                                                                                                                                  3

                                                                                                                                                  Lépjen a következőre: Trust Store és Proxy oldalon.

                                                                                                                                                  4

                                                                                                                                                  Kattintson Ellenőrizze a proxykapcsolatot .

                                                                                                                                                  Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

                                                                                                                                                  Csomópont eltávolítása

                                                                                                                                                  Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

                                                                                                                                                  2

                                                                                                                                                  Csomópont eltávolítása:

                                                                                                                                                  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

                                                                                                                                                  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

                                                                                                                                                  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

                                                                                                                                                  4. Kattintson Csomópontlista megnyitása .

                                                                                                                                                  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

                                                                                                                                                  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

                                                                                                                                                  3

                                                                                                                                                  A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

                                                                                                                                                  Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

                                                                                                                                                  Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

                                                                                                                                                  A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

                                                                                                                                                  Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

                                                                                                                                                  Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

                                                                                                                                                  (Opcionális) Az ISO leválasztása a HDS-konfiguráció után

                                                                                                                                                  A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

                                                                                                                                                  A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

                                                                                                                                                  1

                                                                                                                                                  Állítsa le az egyik HDS-csomópontot.

                                                                                                                                                  2

                                                                                                                                                  A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

                                                                                                                                                  3

                                                                                                                                                  Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

                                                                                                                                                  4

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

                                                                                                                                                  5

                                                                                                                                                  Ismételje meg a műveletet minden HDS-csomópont esetében.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  Figyelmeztetések és hibaelhárítás megtekintése

                                                                                                                                                  A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

                                                                                                                                                  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

                                                                                                                                                  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

                                                                                                                                                    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

                                                                                                                                                    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

                                                                                                                                                  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

                                                                                                                                                  Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

                                                                                                                                                  Riasztások

                                                                                                                                                  Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

                                                                                                                                                  1. táblázat Gyakori problémák és megoldásuk lépései

                                                                                                                                                  Riasztás

                                                                                                                                                  Művelet

                                                                                                                                                  Helyi adatbázis-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

                                                                                                                                                  Helyi adatbázis kapcsolódási hiba.

                                                                                                                                                  Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

                                                                                                                                                  Felhőszolgáltatás-hozzáférési hiba.

                                                                                                                                                  Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

                                                                                                                                                  Felhőszolgáltatás-regisztráció megújítása.

                                                                                                                                                  A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

                                                                                                                                                  A felhőszolgáltatás regisztrációja megszűnt.

                                                                                                                                                  A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

                                                                                                                                                  A szolgáltatás még nincs aktiválva.

                                                                                                                                                  Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

                                                                                                                                                  A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

                                                                                                                                                  Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

                                                                                                                                                  A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

                                                                                                                                                  Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

                                                                                                                                                  Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

                                                                                                                                                  Nem sikerült megnyitni a helyi kulcstároló fájlt.

                                                                                                                                                  Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

                                                                                                                                                  A helyi kiszolgálótanúsítvány érvénytelen.

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

                                                                                                                                                  Nem lehet mérőszámokat közzétenni.

                                                                                                                                                  Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

                                                                                                                                                  A /media/configdrive/hds könyvtár nem létezik.

                                                                                                                                                  Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

                                                                                                                                                  Hibrid adatbiztonsági hibaelhárítás

                                                                                                                                                  A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
                                                                                                                                                  1

                                                                                                                                                  Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

                                                                                                                                                  2

                                                                                                                                                  Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

                                                                                                                                                  3

                                                                                                                                                  Kapcsolat lehetőségre Cisco-támogatás .

                                                                                                                                                  Egyéb megjegyzések

                                                                                                                                                  A hibrid adatbiztonsággal kapcsolatos ismert problémák

                                                                                                                                                  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

                                                                                                                                                  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

                                                                                                                                                    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

                                                                                                                                                  Az OpenSSL használata PKCS12-fájl létrehozásához

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

                                                                                                                                                  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

                                                                                                                                                  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

                                                                                                                                                  • Hozzon létre egy privát kulcsot.

                                                                                                                                                  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

                                                                                                                                                  1

                                                                                                                                                  Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Ellenőrizze a kiszolgálótanúsítvány részleteit.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

                                                                                                                                                    Példa:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

                                                                                                                                                  Forgalom a HDS-csomópontok és a felhő között

                                                                                                                                                  Kimenő mérőszámgyűjtési forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

                                                                                                                                                  Bejövő forgalom

                                                                                                                                                  A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

                                                                                                                                                  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

                                                                                                                                                  • A csomóponti szoftver frissítése

                                                                                                                                                  Squid-proxyk konfigurálása hibrid adatbiztonsághoz

                                                                                                                                                  A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

                                                                                                                                                  A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

                                                                                                                                                  Squid 4 és 5

                                                                                                                                                  Adja hozzá a on_unsupported_protocol utasítást squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintahal 3.5.27

                                                                                                                                                  Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Előszó

                                                                                                                                                  Új és módosított információk

                                                                                                                                                  Dátum

                                                                                                                                                  Végrehajtott módosítások

                                                                                                                                                  2023. október 20

                                                                                                                                                  2023. augusztus 07

                                                                                                                                                  2023. május 23

                                                                                                                                                  2022. december 06

                                                                                                                                                  2022. november 23

                                                                                                                                                  2021. október 13

                                                                                                                                                  A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

                                                                                                                                                  2021. június 24

                                                                                                                                                  Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

                                                                                                                                                  2021. április 30.

                                                                                                                                                  Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

                                                                                                                                                  2021. február 24

                                                                                                                                                  A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

                                                                                                                                                  2021. február 2

                                                                                                                                                  A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  2021. január 11

                                                                                                                                                  További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

                                                                                                                                                  2020. október 13

                                                                                                                                                  Frissítve Telepítési fájlok letöltése .

                                                                                                                                                  2020. október 8.

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

                                                                                                                                                  2020. augusztus 14

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

                                                                                                                                                  2020. augusztus 5

                                                                                                                                                  Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

                                                                                                                                                  2020. június 16

                                                                                                                                                  Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

                                                                                                                                                  2020. június 4

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

                                                                                                                                                  2020. május 29

                                                                                                                                                  Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

                                                                                                                                                  2020. május 5

                                                                                                                                                  Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

                                                                                                                                                  2020. április 21.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

                                                                                                                                                  2020. április 1.

                                                                                                                                                  Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

                                                                                                                                                  2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
                                                                                                                                                  2020. február 4Frissítve Proxykiszolgáló követelményei .
                                                                                                                                                  2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
                                                                                                                                                  2019. november 19

                                                                                                                                                  A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

                                                                                                                                                  2019. november 8

                                                                                                                                                  Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

                                                                                                                                                  Ennek megfelelően frissítette a következő szakaszokat:


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  2019. szeptember 6

                                                                                                                                                  SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

                                                                                                                                                  2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
                                                                                                                                                  2019. augusztus 20

                                                                                                                                                  Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

                                                                                                                                                  Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

                                                                                                                                                  2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
                                                                                                                                                  2019. március 6
                                                                                                                                                  2019. február 28.
                                                                                                                                                  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

                                                                                                                                                  2019. február 26.
                                                                                                                                                  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

                                                                                                                                                  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

                                                                                                                                                  2019. január 24

                                                                                                                                                  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


                                                                                                                                                     

                                                                                                                                                    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

                                                                                                                                                  2018. november 5
                                                                                                                                                  2018. október 19

                                                                                                                                                  2018. július 31

                                                                                                                                                  2018. május 21.

                                                                                                                                                  Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

                                                                                                                                                  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

                                                                                                                                                  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

                                                                                                                                                  • A Cisco Collaboraton felhő mostantól Webex felhő.

                                                                                                                                                  2018. április 11
                                                                                                                                                  2018. február 22
                                                                                                                                                  2018. február 15.
                                                                                                                                                  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  2018. január 18.

                                                                                                                                                  2017. november 2

                                                                                                                                                  • A HdsTrialGroup pontosított címtár-szinkronizálása.

                                                                                                                                                  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

                                                                                                                                                  2017. augusztus 18

                                                                                                                                                  Első közzététel

                                                                                                                                                  Első lépések a Hybrid Data Security használatában

                                                                                                                                                  Hibrid adatbiztonsági áttekintés

                                                                                                                                                  A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

                                                                                                                                                  Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

                                                                                                                                                  Biztonsági birodalmi architektúra

                                                                                                                                                  A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

                                                                                                                                                  Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

                                                                                                                                                  A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

                                                                                                                                                  Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

                                                                                                                                                  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

                                                                                                                                                  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

                                                                                                                                                  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

                                                                                                                                                  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

                                                                                                                                                  A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

                                                                                                                                                  Együttműködés más szervezetekkel

                                                                                                                                                  A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

                                                                                                                                                  Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

                                                                                                                                                  A hibrid adatbiztonság telepítésével kapcsolatos elvárások

                                                                                                                                                  A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

                                                                                                                                                  A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

                                                                                                                                                  A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

                                                                                                                                                  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

                                                                                                                                                  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


                                                                                                                                                   

                                                                                                                                                  A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

                                                                                                                                                  Magas szintű telepítési folyamat

                                                                                                                                                  Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

                                                                                                                                                  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

                                                                                                                                                    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

                                                                                                                                                  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

                                                                                                                                                  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

                                                                                                                                                  A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

                                                                                                                                                  Hibrid adatbiztonsági telepítési modell

                                                                                                                                                  Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

                                                                                                                                                  A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

                                                                                                                                                  A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

                                                                                                                                                  Szervezetenként csak egyetlen fürtöt támogatunk.

                                                                                                                                                  Hibrid adatbiztonsági próba mód

                                                                                                                                                  A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

                                                                                                                                                  Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

                                                                                                                                                  Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

                                                                                                                                                  Készenléti adatközpont vész-helyreállításhoz

                                                                                                                                                  A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Kézi feladatátvétel a készenléti adatközpontba

                                                                                                                                                  Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


                                                                                                                                                   

                                                                                                                                                  Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

                                                                                                                                                  Készenléti adatközpont beállítása vész-helyreállításhoz

                                                                                                                                                  Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

                                                                                                                                                  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

                                                                                                                                                  1

                                                                                                                                                  Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


                                                                                                                                                   

                                                                                                                                                  Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

                                                                                                                                                  2

                                                                                                                                                  A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

                                                                                                                                                  3

                                                                                                                                                  A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  5

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  6

                                                                                                                                                  A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

                                                                                                                                                  7

                                                                                                                                                  Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


                                                                                                                                                   

                                                                                                                                                  Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

                                                                                                                                                  8

                                                                                                                                                  Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

                                                                                                                                                  9

                                                                                                                                                  Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


                                                                                                                                                   

                                                                                                                                                  Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

                                                                                                                                                  Proxy támogatás

                                                                                                                                                  A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

                                                                                                                                                  A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

                                                                                                                                                  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

                                                                                                                                                      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

                                                                                                                                                      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

                                                                                                                                                        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

                                                                                                                                                  Példa hibrid adatbiztonsági csomópontokra és proxyra

                                                                                                                                                  Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

                                                                                                                                                  Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

                                                                                                                                                  Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  A hibrid adatbiztonság követelményei

                                                                                                                                                  Cisco Webex licenckövetelmények

                                                                                                                                                  A Hybrid Data Security üzembe helyezése:

                                                                                                                                                  Docker asztali követelmények

                                                                                                                                                  A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

                                                                                                                                                  X.509 Tanúsítványkövetelmények

                                                                                                                                                  A tanúsítványlánc meg kell felelnie a következő követelményeknek:

                                                                                                                                                  1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

                                                                                                                                                  Követelmény

                                                                                                                                                  részletei

                                                                                                                                                  • Megbízható Certificate Authority (CA) írta alá

                                                                                                                                                  Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

                                                                                                                                                  • Nem helyettesítő karakteres tanúsítvány

                                                                                                                                                  A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

                                                                                                                                                  A CN nem tartalmazhat * karaktert (cserélő karakter).

                                                                                                                                                  A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

                                                                                                                                                  Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

                                                                                                                                                  • Nem SHA1 aláírás

                                                                                                                                                  A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

                                                                                                                                                  • Jelszóval védett PKCS #12-fájlként formázva

                                                                                                                                                  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

                                                                                                                                                  A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

                                                                                                                                                  A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

                                                                                                                                                  A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

                                                                                                                                                  Virtuális kiszolgálóra vonatkozó követelmények

                                                                                                                                                  A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

                                                                                                                                                  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

                                                                                                                                                  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


                                                                                                                                                     

                                                                                                                                                    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

                                                                                                                                                  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

                                                                                                                                                  Adatbázis-kiszolgáló követelményei


                                                                                                                                                   

                                                                                                                                                  Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

                                                                                                                                                  Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

                                                                                                                                                  2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

                                                                                                                                                  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


                                                                                                                                                     

                                                                                                                                                    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

                                                                                                                                                  A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC illesztőprogram 42.2.5

                                                                                                                                                  SQL Server JDBC illesztőprogram 4.6

                                                                                                                                                  Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

                                                                                                                                                  További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

                                                                                                                                                  Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

                                                                                                                                                  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

                                                                                                                                                  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

                                                                                                                                                  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

                                                                                                                                                  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

                                                                                                                                                    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

                                                                                                                                                  Külső csatlakozási követelmények

                                                                                                                                                  Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

                                                                                                                                                  Alkalmazás

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Útvonal az alkalmazásból

                                                                                                                                                  Cél

                                                                                                                                                  Hibrid adatbiztonsági csomópontok

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS és WSS

                                                                                                                                                  • Webex szerverek:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

                                                                                                                                                  HDS beállító eszköz

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Kimenő HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Minden Common Identity-gazda

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

                                                                                                                                                  A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

                                                                                                                                                  Régió

                                                                                                                                                  Common Identity Host URL-ek

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Európai Unió

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxykiszolgáló követelményei

                                                                                                                                                  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

                                                                                                                                                    • Átlátszó proxy— Cisco web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

                                                                                                                                                  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

                                                                                                                                                    • Nincs hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

                                                                                                                                                    • Kivonatalapú hitelesítés csak HTTPS-sel

                                                                                                                                                  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

                                                                                                                                                  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

                                                                                                                                                  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

                                                                                                                                                  Töltse ki a hibrid adatbiztonság előfeltételeit

                                                                                                                                                  Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
                                                                                                                                                  1

                                                                                                                                                  Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

                                                                                                                                                  2

                                                                                                                                                  Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

                                                                                                                                                  3

                                                                                                                                                  Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

                                                                                                                                                  4

                                                                                                                                                  Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

                                                                                                                                                  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

                                                                                                                                                  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

                                                                                                                                                    • a szervező neve vagy IP-cím (gazdagépét) és portját

                                                                                                                                                    • a kulcstároláshoz szükséges adatbázis neve (dbname).

                                                                                                                                                    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

                                                                                                                                                  5

                                                                                                                                                  A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

                                                                                                                                                  6

                                                                                                                                                  Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


                                                                                                                                                   

                                                                                                                                                  Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

                                                                                                                                                  A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

                                                                                                                                                  8

                                                                                                                                                  Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

                                                                                                                                                  9

                                                                                                                                                  A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

                                                                                                                                                  A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

                                                                                                                                                  A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

                                                                                                                                                  10

                                                                                                                                                  Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

                                                                                                                                                  11

                                                                                                                                                  Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


                                                                                                                                                   

                                                                                                                                                  Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

                                                                                                                                                  Hibrid adatbiztonsági fürt beállítása

                                                                                                                                                  Hibrid adatbiztonsági telepítési feladatfolyamat

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Készítse elő a környezetét

                                                                                                                                                  1

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

                                                                                                                                                  2

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

                                                                                                                                                  3

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  4

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

                                                                                                                                                  5

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

                                                                                                                                                  6

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

                                                                                                                                                  7

                                                                                                                                                  Regisztrálja az Első csomópontot a fürtben

                                                                                                                                                  Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

                                                                                                                                                  8

                                                                                                                                                  További csomópontok létrehozása és regisztrálása

                                                                                                                                                  Fejezze be a fürt beállítását.

                                                                                                                                                  9

                                                                                                                                                  Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

                                                                                                                                                  A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

                                                                                                                                                  Telepítési fájlok letöltése

                                                                                                                                                  Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
                                                                                                                                                  1

                                                                                                                                                  Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

                                                                                                                                                  2

                                                                                                                                                  A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

                                                                                                                                                  Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


                                                                                                                                                   

                                                                                                                                                  Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


                                                                                                                                                   

                                                                                                                                                  A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

                                                                                                                                                  3

                                                                                                                                                  Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

                                                                                                                                                  Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
                                                                                                                                                  4

                                                                                                                                                  Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

                                                                                                                                                  Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

                                                                                                                                                  A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

                                                                                                                                                    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

                                                                                                                                                    Leírás

                                                                                                                                                    Változó

                                                                                                                                                    HTTP-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy hitelesítés nélkül

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy hitelesítéssel

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

                                                                                                                                                    • Adatbázis hitelesítő adatok

                                                                                                                                                    • Tanúsítványfrissítések

                                                                                                                                                    • Az engedélyezési házirend változásai

                                                                                                                                                  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

                                                                                                                                                  1

                                                                                                                                                  A gépe parancssorában adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

                                                                                                                                                  2

                                                                                                                                                  A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Töltse le a legújabb stabil lemezképet a környezetéhez:

                                                                                                                                                  Normál környezetben:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP-környezetekben:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

                                                                                                                                                  • Normál környezetben proxy nélkül:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTP proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Normál környezetben HTTPS-proxyval:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Proxy nélküli FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

                                                                                                                                                  Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

                                                                                                                                                  Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

                                                                                                                                                  7

                                                                                                                                                  Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

                                                                                                                                                  8

                                                                                                                                                  A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

                                                                                                                                                  9

                                                                                                                                                  A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

                                                                                                                                                  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
                                                                                                                                                  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
                                                                                                                                                  10

                                                                                                                                                  Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

                                                                                                                                                  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
                                                                                                                                                  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
                                                                                                                                                  11

                                                                                                                                                  Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

                                                                                                                                                  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

                                                                                                                                                    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

                                                                                                                                                  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

                                                                                                                                                    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

                                                                                                                                                    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

                                                                                                                                                  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

                                                                                                                                                    Példa:
                                                                                                                                                    dbhost.example.org:1433 vagy 198.51.100.17:1433

                                                                                                                                                    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

                                                                                                                                                    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

                                                                                                                                                  4. Adja meg a Adatbázis neve .

                                                                                                                                                  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

                                                                                                                                                  12

                                                                                                                                                  Válassza ki a TLS adatbázis-kapcsolati mód :

                                                                                                                                                  Mód

                                                                                                                                                  Leírás

                                                                                                                                                  TLS előnyben részesítése (alapértelmezett lehetőség)

                                                                                                                                                  A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

                                                                                                                                                  TLS szükséges

                                                                                                                                                  A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  TLS megkövetelése és tanúsítványaláíró ellenőrzése


                                                                                                                                                   

                                                                                                                                                  Ez a mód nem alkalmazható SQL Server adatbázisokra.

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

                                                                                                                                                  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

                                                                                                                                                  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

                                                                                                                                                  Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

                                                                                                                                                  Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

                                                                                                                                                  13

                                                                                                                                                  A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

                                                                                                                                                  1. Adja meg a syslog szerver URL-címét .

                                                                                                                                                    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

                                                                                                                                                    Példa:
                                                                                                                                                    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.
                                                                                                                                                  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

                                                                                                                                                    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

                                                                                                                                                  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

                                                                                                                                                  4. Kattintson a Folytatás gombra.

                                                                                                                                                  14

                                                                                                                                                  (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

                                                                                                                                                  A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

                                                                                                                                                  16

                                                                                                                                                  Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

                                                                                                                                                  17

                                                                                                                                                  Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

                                                                                                                                                  Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

                                                                                                                                                  18

                                                                                                                                                  A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


                                                                                                                                                   

                                                                                                                                                  Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

                                                                                                                                                  Telepítse a HDS Host OVA alkalmazást

                                                                                                                                                  Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
                                                                                                                                                  1

                                                                                                                                                  A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

                                                                                                                                                  2

                                                                                                                                                  Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

                                                                                                                                                  3

                                                                                                                                                  A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

                                                                                                                                                  4

                                                                                                                                                  A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

                                                                                                                                                  5

                                                                                                                                                  A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

                                                                                                                                                  Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

                                                                                                                                                  6

                                                                                                                                                  Ellenőrizze a sablon részleteit, majd kattintson Következő .

                                                                                                                                                  7

                                                                                                                                                  Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

                                                                                                                                                  8

                                                                                                                                                  A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

                                                                                                                                                  9

                                                                                                                                                  A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

                                                                                                                                                  10

                                                                                                                                                  A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

                                                                                                                                                  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

                                                                                                                                                     
                                                                                                                                                    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

                                                                                                                                                    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

                                                                                                                                                  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

                                                                                                                                                     

                                                                                                                                                    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
                                                                                                                                                  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
                                                                                                                                                  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
                                                                                                                                                  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.
                                                                                                                                                  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

                                                                                                                                                  Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


                                                                                                                                                   

                                                                                                                                                  A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

                                                                                                                                                  11

                                                                                                                                                  Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

                                                                                                                                                  A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

                                                                                                                                                  Hibaelhárítási tippek

                                                                                                                                                  Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

                                                                                                                                                  Állítsa be a Hybrid Data Security VM

                                                                                                                                                  Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

                                                                                                                                                  1

                                                                                                                                                  A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

                                                                                                                                                  A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
                                                                                                                                                  2

                                                                                                                                                  Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

                                                                                                                                                  1. Bejelentkezés: admin

                                                                                                                                                  2. Jelszó: cisco

                                                                                                                                                  Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

                                                                                                                                                  3

                                                                                                                                                  Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

                                                                                                                                                  4

                                                                                                                                                  Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

                                                                                                                                                  5

                                                                                                                                                  (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

                                                                                                                                                  Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

                                                                                                                                                  6

                                                                                                                                                  Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

                                                                                                                                                  Töltse fel és szerelje fel a HDS konfigurációs ISO -t

                                                                                                                                                  Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

                                                                                                                                                  1

                                                                                                                                                  Töltse fel az ISO fájlt a számítógépéről:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

                                                                                                                                                  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

                                                                                                                                                  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

                                                                                                                                                  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

                                                                                                                                                  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

                                                                                                                                                  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

                                                                                                                                                  2

                                                                                                                                                  Az ISO fájl csatolása:

                                                                                                                                                  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

                                                                                                                                                  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

                                                                                                                                                  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

                                                                                                                                                  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

                                                                                                                                                  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

                                                                                                                                                  Mi a következő teendő

                                                                                                                                                  Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

                                                                                                                                                  Konfigurálja a HDS-csomópontot a proxyintegrációhoz

                                                                                                                                                  Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

                                                                                                                                                  Mielőtt elkezdené

                                                                                                                                                  1

                                                                                                                                                  Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

                                                                                                                                                  2

                                                                                                                                                  Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

                                                                                                                                                  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
                                                                                                                                                  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
                                                                                                                                                  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:
                                                                                                                                                    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

                                                                                                                                                    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

                                                                                                                                                    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

                                                                                                                                                    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

                                                                                                                                                      • Nincs—Nincs szükség további hitelesítésre.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

                                                                                                                                                        HTTP vagy HTTPS proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

                                                                                                                                                        Csak HTTPS-proxykhoz érhető el.

                                                                                                                                                        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

                                                                                                                                                  Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

                                                                                                                                                  3

                                                                                                                                                  Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

                                                                                                                                                  A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra